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Στον αγώνα για ανέµελο torrenting, µέρος 1/3: 


Δοκιμάζουμε το TorGuard, µια υπηρεσία anonymous VPN που είναι ειδικά 
σχεδιασμένη για χρήστες του BitTorrent. 


Υπηρεσίες Active Directory, χωρίς active-vo£nr [μέρος 1/2] ........................ 28 


H τεχνολογία Active Directory αποτελεἰ Ευλογία (TM) για τα τοπικά 
δίκτυα µε συστήµατα тоо τρέχουν Windows, µόνο που to Active Directory 
προὐποθέτει την παρουσία ενός Windows Server κι αυτό συνεπάγεται 
ένα καθόλου ευκαταφρόνητο κόστος. Н μήπως ὀχι.. 


Στον αγώνα για ανέµελο torrenting, µέρος 2/3: 
Δημιουργία βολικού κι ασφαλούς Ѕееабох................................................... 40 


Δημιουργία Seedbox για BitTorrent downloads, το οποίο παρέχει ανωνυ- 
µία, ιδιωτικότητα αλλά και δικλίδες ασφαλείας για την περίπτωση που 
κάτι δεν πάει καλά. 


Υπηρεσίες Active Directory, χωρίς αοΐϊνε-τσέπη [μέρος 2/2] ........................ 60 


Σύνδεση συστηµάτων Windows σε Active Directory, το οποίο υφίσταται σε 
Ubuntu Server. 


Στον αγώνα για ανέµελο torrenting, µέρος 3/3: 
Πρώτη γραμμή άμυνας, µε το pfSense .........................................: 72 


Σύνδεση pfSense-based router σε δύο ἡ περισσότερους TorGuard VPN 
servers, για την προστασία δύο ἡ περισσοτέρων *UTIOGUVOAWV* hosts 
(που βρίσκονται πίσω από το pfSense). 
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To ηλεκτρονικὀ περιοδικό deltaHacker εἶναι συνδρομητικό και εκδίδεται апо την Parabing Creations δώδεκα φορές το χρόνο, 
κάθε μήνα. Н Parabing Creations έχει την έδρα της στην Καλαμαριά Θεσσαλονίκης. О δικτυακός τόπος του περιοδικού εἶναι στο 
http://deltahacker.gr. To email επικοινωνίας είναι το talk2us@deltahacker.gr και ειδικά για τις συνδρομές εἰναι το subscriptions@deltahacker.gr. Οι γενικές 
πληροφορίες για τις συνδρομές παρατίθενται στο http://deltahacker.gr/pdfi 2order και апо την ίδια σελίδα γίνονται οι παραγγελίες συνδρομών. 
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/var/log/massages 


Παράλληλα σύμπαντα 


του Χρήστου Βαρελά 


Αγαπητές κι αγαπητοί, φίλες και φίλοι, συντρόφισσες και σύντροφοι. 


* Αυτή TN στιγμή, το κουράγιο για την πληκτρολόγηση των γραμμών αυτών εἰναι κάτι 
που µου λείπει. 


* Δυσκολεύτηκα πολύ үа va ξεκινήσω το κείμενο, ενω ξέρω OTL θα δυσκολευτώπε- 
ρίπου 129 φορές περισσότερο για να to ολοκληρώσω. 


* Είμαι συγκλονισµένος, ανήσυχος kat φοβισμένος. 


* Σιγά, όλοι єїнаотє απ όλα αυτά, θα σκεφτείτε. Υπάρχει κανείς ατάραχος, ήρεμος κι 
εντελώς γενναίος, µε όλα όσα γίνονται τον τελευταίο καιρό; 


+ Nat, έτσι εἶναι όπως та λέτε, δεν το συζητώ. 
* Αλλάπριν µίαπερίπου εβδομάδα διάβασα µια είδηση και σκιάχτηκα ακόµαπιο πολύ. 


* Είναι ένας κος Καθηγητής апо το Πανεπιστήµιο της Uppsala, στη Σουηδία, o onoi- 
ος µετά από (πολλές) πράξεις έφτασε o' éva συμπέρασμα που αλλάζει τα πάντα. 
Αναφέρομαι στον Erik Zackrisson, ἐγκριτο Αστροφυσικό, ο οποίος βάλθηκε va urto- 
λογίσει την πιθανότητα ύπαρξης πλανήτου παρομοίου ре τον δικό µας, ο οποίος θα 
µπορεί να υποστηρίξει τη ζωή όπως την ξέρουμε - й µια ζωή που κάπως θα της 
μοιάζει, τέλος πάντων. 


* Λοιπόν, για να βεβαιωθώ ότι θα κατανοήσετε τι µου συνέβη όταν διάβασα για τα 
αποτελέσµατατης έρευνας TOU κου Καθηγητού,θακάνω εδώ ένα αναπάντεχο, 6pa- 
ματικό αλλά σύντομο διάλειµµαγιατη μετάδοση µιας άλλης είδησης. Έτσι, av ur TL 
άλλο για να EXETE και λίγο περισσότερο χρόνο WOTE va προετοιµαστείτε ψυχολο- 
γικά για τον κο Zackrisson. 


* Διάλειμμα: Επιτυχηµένη επίθεση πραγματοποιήθηκε στο site της δημοφιλούς διανο- 
μής Linux Mint, µε αποτέλεσµα οι επισκέπτες να κατεβάζουν μολυσμένα ISO images 
της εκδοχής Cinnamon, апо κακόβουλους FTP servers. Ог ev λόγω servers βρίσκονταν 
στη Βουλγαρία και το τροποποιημένο ISO περιελάμβανε το TSUNAMI, éva απλοϊκό για 
τα σημερινά δεδοµένα IRC bot που χρησιµοποιείται για την πραγματοποίηση επιθέ- 
σεων 0005. Το γεγονός ότι οι επιτιθέµενοι δεν ενσωμάτωσαν πιο ύπουλο ή/και πιο 
επικερδές malware, όπως, π.Χ., θα ήταν ένας Bitcoin miner, οδηγεί τους αναλυτές στο 
συμπέρασμα ότι μάλλον πρόκειται για νεοφερµένους στο χώρο. Н κατάσταση πλέον 
έχει τεθεί υπό έλεγχο κι από το site tou Linux Mint διανέμονται τα επίσημα ISO images. 


* Επιστρέφουµε τώρα στη μελέτη του κου Καθηγητού. 
* Βαθιά ανάσα κι ας ξεκινήσουμε µε τη µεγάλη εικόνα. 
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* Στο γαλαξία µας και µόνο υπάρχουν περί τα 50 δισεκατομμύρια πλανήτες. Δεν ava- 
φέρομαι σε συνηθισµένους πλανήτες. Όχι, αυτοί είναι πολλοί περισσότεροι. Αυτά 
τα 50 δισεκατομμύρια πλανήτες του γαλαξία µας που μόλις ανέφερα, εἶναι εκείνοι 
που ομοιάζουν µε τη Γη και που θα μπορούσαν να υποστηρίξουν τη ζωή όπως την 
ξέρουμε. Οι μαθηματικές πιθανότητες, λοιπόν, υπαγορεύουν OTL ἔστω και σε ἕναν 
από αυτούς -TNG Γης εξαιρουµένης- θα μπορούσε va υπάρχει ζωή όπως τη γνωρί- 
ζουμε. 


* Н πιθανότητα να µην είµαστε μόνοι γίνεται ακόµα µεγαλύτερη, αν σκεφτούμε OTL 
εκτός апо το γαλαξία µας, στο Σύμπαν υπάρχουν περίπου άλλα 100 δισεκατομμύ- 
pta γαλαξίες. Δεν χρειάζεται να παίζεις στα δάκτυλα τη Θεωρία Πιθανοτήτων, για 
va δεχτείς ότι “αποκλείεται” να εἰμαστε μόνοι µας. Εντάξει, ίσως εἰναιιλιγγιωδώς 
απίθανο να συναντήσουμε ὀντα από άλλους πλανήτες, ωστόσο η βεβαιότητα ότι 
εἶναι κάπου Εκεί Έξω (TM) εἰναι αρκετή για να καθησυχάζει τις υπαρξιακές µας 
ανησυχίες. 


* Όλα ωραία, λοιπόν, αλλά Óxt για τον κο Καθηγητή. O Erik Zackrisson δεν εἶναι από 
εκείνους που παίζουν αφελώς µε τις πιθανότητες για να φτάνουν σε σαθρά συ- 
рпераората. Έφτιαξε λοιπόν ένα μοντέλο σε υπολογιστή και το άφησε να τρέξει. 
Λαμβάνοντας υπόψη ότι γνωρίζουμε για τους εξωπλανήτες κι όλα όσα η Φυσική 
υποδεικνύει πως συνέβησαν µετά τη Μεγάλη Έκρηξη -μιλάμε τώρα για éva διά- 
στηµα 13,8 δισεκατομμυρίων ETWV-, το μοντέλο επιχείρησε να υπολογίσει την πι- 
θανότητα ύπαρξης πλανήτη παρόμοιου µε τη Γη και” µε ζωή. 


* Και πράγματι, την υπολόγισε την πιθανότητα. 


* Από éva σύνολο 7 x 10420 πλανητῶν στο Σύμπαν, ζωή Exel ένας και μόνον Evac: ο 
δικός µας. 

* H ζωή στον πλανήτη µας ὀχι μόνο δεν είναι ο κανόνας, αλλά δεν είναι καν η εξαίρε- 
ση. 

* Όχι. Είναι απλά µια στατιστική ανωμαλία, κάτι το οποίο δεν εἰχε λόγο να συμβεί κι 
όμως, εντελώς από λάθος, συνέβη. 

* O κος καθηγητής έφτασε στο συμπέρασμά του βασιζόμενος σε μοντέλο - και τα 
μοντέλα εξ ορισμού αποτελούν προσεγγίσεις της πραγματικότητας. Ίσως, λοιπόν, 
κάτι να tou ξεφεύγει και τελικά va µην εἰμαστε μόνοι µας. 


* Εδώ δεν έλαβε καν υπόψη του τα παράλληλα σύμπαντα, θα σκεφτεί κάποιος. Kat TN 
σκέψη αυτού του κάποιου δεν πρέπει να βιαστούμε και va την απορρίψουµε, aya- 
πητές κι αγαπητοί. Θυμηθείτε: Τέλεια γνώση δεν έχουµε, στα σκοτάδια κινούμαστε 
και ψηλαφίζουμε. 


* Μπορεί, λοιπόν, o κος καθηγητής να έχει δίκιο και στο δικό µας Σύμπαν va επικρατεί 
ησυχία, τάξη και ασφάλεια -τουλάχιστον σε µια κοσμική κλίµακα-, αλλά την ίδια 
στιγμή να υπάρχουν και παράλληλα σύμπαντα. Σε κάποια апо αυτά είναι πιθανό να 
υπάρχει ζωή σε περισσότερους από έναν πλανήτες. Σε κάποιο άλλο, ίσως υπάρχει 
ζωή σε καμιά πενηνταριά πλανήτες. Σε παράλλο παίζει να επικρατεί ενοχλητικός 
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OUVWOTLOHOC και οι εκεἰ επιστήµονες να συζητούν για την ύπαρξη ησύχων συμπά- 
ντων, σαν το δικό µας. Ποιος ξέρει; Ποιος µπορεί µε βεβαιότηταναπει; Ποιος εἶναι 
πρόθυμος va αποκλείσει τη µία και την άλλη υπόθεση; 


• Τελικά, ξεκίνησα va γράφω το κείµενο αυτό µε βαριά καρδιά, όσο όµως то σκέφτο- 
μαι αισιοδοξω. Ναι, αν όχι στο δικὀ µας τότε σίγουρα σε κάποιο άλλο, παράλληλο 
Σύμπαν, να υπάρχει ζωή εδώ κι εκεί και παραπέρα. 


* Αλλά, για µια στιγµή. Θα μπορέσουμε άραγε κάποια στιγµή va εἰμαστε σίγουροι; Θα 
καταφέρουμε, µε κάποιο τρόπο, να πεταχτούμε σε ένα ἡ δύο παράλληλα σύμπαντα; 
Όχι yta va τους κατσικωθούμε, δεν εἰμαστε τέτοιοι εμείς. Απλά, για va ρίξουμε µια 
ματιά στους εκεί φυσικούς νόμους και µετά να γυρίσουμε αμέσως στο δικό µας 
σύμπαν, WOTE να βελτιώσουμε τα μοντέλα µας. 


* Oa pou πείτε, εδώ δυσκολευόµαστε να паре μέχρι τον Άρη, ενώ και το ταξίδι ué- 
XPL την άκρη του ηλιακού µας συστήµατος αποτελεί μέγιστο коскі. Μετά βέβαια 
έχουµε και το γαλαξία µας και ύστερα ένα σωρό άλλους γαλαξίες στο δικὀ µας µας 
σύμπαν. Δεν μπορούμε, κατά πώς φαίνεται, να πάμε λίγο πιο πέρα από την αυλή µας 
- Kat ta παράλληλα σύμπαντα μάς μάραναν! 


* Δίκιο ἐχετε. Όσο κι av η συλλογιστική σας φέρνει ξανά το φόβο, δεν μπορώ παρά 
ναπαραδεχτώ ότι ἐχετε δίκιο. Εκτός βέβαια κι av σκεφτόμαστε λάθος.Ίσως, T.X., η 
μετάβαση σε παράλληλο σύμπαν να µην προὐποθέτει OTL πρέπει πρώτα va διασχί- 
σουµε το παρόν σύμπαν. Μπορεί το µόνο που χρειαζόμαστε να εἶναι το κατάλληλο 
shortcut στους νόμους της Φυσικής και µετά θα μπορούμε va πεταγόµαστε από 
σύμπαν σε σύμπαν, να κάνουμε τις παρατηρήσεις µας, va πραγματοποιούµε μερικές 
αθώες ρυθμίσεις και va επιστρέφουµε εδώ, στα γνωστά τα µέρη. 


* Είναι άραγε κάτι τέτοιο εφικτό ἡ to όλο σκεπτικό συγγενεύει µε ευχολόγιο; 


* Tt va oaq πω, πραγματικά δεν ξέρω. Πάντως η αισιόδοξη πλευρά του χαρακτήρα 
µου έχει αρχίσει και πάλι να κερδίζει έδαφος. Ναι, νομίζω ότι η μετάβαση σε па- 
ράλληλα σύμπαντα είναι” εφικτή. 


* Τώραπου το σκέφτομαι λίγο ruo ψύχραιμα, τολμώ και θεωρώ ότι κάποιοι συμπολί- 
τες µας πρέπει "ἠδη” να ζουν σε παράλληλα σύμπαντα. Av μάλιστα η υπόθεσή µου 
δεν εἶναι λανθασμένη, εξηγεί πολλά. Να, θα αναφέρω ένα-δυο παραδείγματα στην 
τύχη. Ορισμένοι συμπολίτες µας δεν φαίνεται να παραξενεύονται καθόλου όταν то 
ΟΧΙ μετατρέπεται σε ΝΑΙ. Μην το σκέφτεστε µε τη λογική του δικού µας σύμπα- 
ντος: Είναι που στο δικό τους σύμπαν οι νόμοι της φύσης επιτρέπουν τέτοιου £i- 
δους απότομες μεταβάσεις. Αποτελούν καθημερινό κι εντελώς βαρετό φαινόμενο 
στον κόσμο τους, πώς να TO κάνουμε. Άλλο παράδειγµα: Υπάρχουν συμπολίτες µας 
που πιστεύουν ὁτι η κυβέρνηση έχει σχέδιο, ξέρει πολύ καλά τι κάνει και τελικά 
όλα θα πάνε καλά. Μη γελάτε. Στο δικό τους σύμπαν όλα αυτά συμβαίνουν ήδη. Av 
ήμαστε κι εμείς στο ἰδιο σύμπαν, παρόμοια θα σκεφτόµασταν, τα ἴδια θα λέγαμε. 


* Αλλά δεν εἰμαστε. 


— 
DigitalOcean 


Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, yia απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

στο cloud της DigitalOcean. 

Κάντε KAIK στο http://bit.ly/digocean10off 
και κερδίστε αυτομάτως 105 oe credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν yia ένα VPS 
µε 512MB RAM, 20GB SSD και 1TB transfer. 


m Δεν είναι KI άσχημα 
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Αγαπητοί pov, "9 

Κινητικότητα σήµερα στο σπίτι και,σας γράφω στα γρήγορα. 

Про ολίγον είχε έρθεν ο хориос Κώστάς оло την Έβγα για να αφήσει 
ένα βίντεο. ; 

Βίντεο, vat. (l'uou νόον, βίντεο» Από εκείνα µε τις βιντεοκασέτες») 
To έφερε σε µια αρχαία σακούλα από το Μινιόν καν το άφησε στο 
τραπέζι. DE pra άλλη σακούλα έχεν φέρεν δύο βιντεοκασέτες. Tetpawpes 

απ' ὁ,τν µας εξήγησε. 

Καταφέρνεν και τις βρίσκει, ποφοτιμής λέει, από έναν προμηθευτή 
τον που έχεν τα κατάλληλα HOVE καν µπορεί να σου βρεν οτιδήποτε. 

"Πάντως βρίσκεις. Άμα θέλεις, βρίσκεις", pov είπε река, βλέπο- 
утас το ανήσυχό pov βλέμμα. "Δεν υπάρχεν πρόβλημα." 

Αυτό πον ο κύριος Κώστας ξέχασε να φέρει, εἶναι το καλώδιο για να 
συνδέσουµε το βίντεο µε την τηλεόραση. Έφυγε για να το φέρεν. 

Περυμένοντάς τον, όλον είμαστε απασχολημένοι µε κάτι. 

Εγώ σας γράφω την επιστολή. Н μητέρα της Βξαδέλφης, που είναι 
ννδουίστρια, καν η Κυρία Καίτη, ετοιμάζουν στην κουζίνα καυτερά oa- 
µοσάκια λαχανικών, ποτομπουχιές µε κάρν, καν πανήρ µε σπανάκι. H 
ἘΕξαδέλφη είναν κάπου εδώ γύρω καν δεν συμμετέχει νυδναίτερα, καν η 
Μανρούλα προσπαθεί να συνδεθεί µε το Σκάιπ αλλά ибти έχει συμβεί σή-- 
μερα καν το ἵντερνετ σέρνεταν. 

Τελευταία Κυριακή του Iavovapiou, που λέτε, καν έχουµε αποφασίσεν 
να τυµήσουμµε την επέτειο µε βραδιά βίντεο, ινδικό μπουφέ xav σάλατ 
μπαρ. 

Н έμπνευση μάς ήρθε оло τις αφίσες που έχουν γεμίσει την Αθήνα, 
για την εκδήλωση στο τάε xpov ντο. 

"Ένας Χρόνος Μάχη -- Προχωράμε", καν τα λοιπά. θα τις έχετε δει, 
δεν μπορεί. 

А, όλα Ἀν όλα, η φτώχια θέλει καλοπέραση. 

Н Μαιρούλα, την είχε πιάσεν το αγωνιστικό της, έλεγε να πάει. H 
Κυρία Καίτη, απὀ την άλλη, ανησυχούσε καν δεν ἤθελε να την αφήσει. 
Τελικά о παυγάς αποφεύχθηκε όταν έπεσε η ιδέα της βιντεοβραδιάς. 

Που λέτε, αποδεικνύεται πως о хорос Κώστας έχεν αρχείο βιντεο- 
κασετών µε όλες τις βραδιές αποτελεσμάτων εκλογών από το 2000 καν 
μετά. Το άκουγα που το 'λεγε προ ημερών στην орђүорт καν δεν το πί- 
στευα. Τις έχει όλες, εθνικές εκλογές από 2000 Χαν µετά, βιντεογραμ- 
μένεος. Real time. 


Σνέιλ ELA 


Βεχινάεν να γράφειν ало τα πρώτα έξιτ πολ, μετά τα αποτελέσµατα έτσι ως ἔρχονται, τις 
συζητήσεις, τις συνεντεύξεις καν τα λοιπά. Επί бсо πάρει. Συνήθως δύο τετράωρες βιντεο- 
κασέτες. Καμιά φορά καν τρεις. 


Έτσι έκανε πέρσυ. E νστορική νίκη του λαού απέναντι στη νεοφιλελεύθερη λαίλαπα civar 
μαγνητοσκοπημένη καν έτοιμη για όποιον ενδιαφέρεται να αναθερµάνειν τα αγωνιστικά του 
πιστεύω. 


Με το που έπεσε, λοιπόν, η ιδέα, στείλαµε στην Έβγα την Κυρία Καίτη pe τη Μαιρούλα va 
κανονίσουν τις λεπτομέρενες, HAL η συμφωνία έκλεισε. 


O Κύρνος Κώστας θα βάλει βίντεο και βιντεοκασέτες (то καλώδιο ξέχασε, αλλά το φέρνεν 
τώρα) KL εμείς θα βάλουμε Ἰνδικό μπουφέ και σπίτι. Λευκές μπύρες ρυζιού Χαντία αγοράσα- 
µε απὀ το ννδονησιαχό σουπερμάρκετ στη γωνία, πον τις φέρνει απευθείας ano το Μάντγια 
Πραντές. Από εκεί αγοράσαµε και πρακεράκια ρυζιού (για τις πίχλες 100) καν μείγμα Τσά- 
να Xovp για σνακ. 

Γενικώς είμαστε πανέτονµον να χαιρετίσουµε εορταστικά την εορταστική αυτή εορτή. 


Βνδικά το Ἰσάνα Χουρ θα το σερβίρουμε µε ὑνλοκομμένο κρεμμύδι μαϊντανό καν µπόλινο 
γναούρτν, γνατί καίει σαν την κόλαση. Ελπίζω να βοηθήσει καν η μπύρα ρυζιού. 

Τέλος πάντων, το σκεφτήκαμε ᾠύχρανμα: Av είναν να ανάφεις από κάτι καλύτερα να ανά- 
ῴεις από το Ἰσάνα Χουρ, παρά από την συζήτηση. 

θα ήθελα πάντως --αν µε ρωτήσετε θα το παραδεχτώ-- θα ήθελα να μπορούσαμε να κά- 
νουµε pia σοβαρή, καν Φύχραιμῃη κατά το δυνατόν, συζήτηση yta όσα συνέβησαν στην Ελλάδα 
τους τελευταίους IZ μήνες. 


θα το ήθελα --αλλά µοιάζω va cipal ο μόνος που το θέλει. Όλον civar πλέον περιχαρα- 
κωμένον πίσω олбо εκατέρωθεν γραμμές Μαζινό και δεν σηκώνουν μύγα στο σπαθί τους. 


θα θυμάστε, σας τα έλεγα καν την περασμένη φορά. O δημόσιος διάλογος στη χώρα µας 
leaves much to be desired που λένε και ov κοντόφραγκου. 


Έχουμε μάλιστα φτάσει σε ένα σηµείο που xav µόνο то να θέσεις θέµα διαλόγου καν 
ανταλλαγής απόφεων σε κατατάσσει αυτομάτως στο στρατόπεδο των φιλελέδων, των EVPO— 
φλώρων, καν tov αμραίου κέντρου. Κι αν OXL αυτομάτως, σίγουρα πάντως νομοτελειακά. 


Διότι, βέβανα, TL άλλο θα ήσουν αν όχν φιλελεύθερο θατσερικό γουρούνι, ἡ αφελής ηλίθν- 
ος, αν αρνείσαν να δεις OTL το µεγάλο κεφάλανο και το 12 έχουν εξαπολύσεν κατά μέτωπον 
επίθεση σε κάθε κατάκτηση τον εργατικού κινήματος, µε στόχο να καταργήσουν κάθε ἐν- 
νονα κοινωνικού κράτους. 


Αν µάλιστα ζητήσεις διευκρινίσεις καν κάνεις το λάθος να επισηµάνεις πως --ανεξαρτή- 
τως του ενδεχόµενου να υφίσταται όντως επίθεση το KOWWVLKO κράτος EX μέρους του µε- 
γάλου κεφαλαίου και του 1%—— το πρόβλημα της Ελλάδας είναι διαφορετικό, 
πως στην Ελλάδα ούτως ἡ άλλως δεν υπήρχε κοννωννκό 
κράτος (τουλάχιστον µε την Ev— 
νονα που υπάρχει στην Ευρώπη), 
καν OTL, Strictly speaking, δεν 
τίθεται θέµα πατάργησής του, 
θα σε ποντάξουν µε απέχθεια καν 
οίκτο. 


Αν τελικά κάνουν τον κόπο να 
σου απαντήσουν, θα σου πούνε OTL 
κάθε χώρα είναν διαφορετική, καν 
πως, εν πάση περιπτώσεν, αυτό πον 
είχαμε στην Ελλάδα, *avto* έχουν 
βάλει στο στόχαστρο, το µεγάλο 
νεοφιλελεύθερο πείραμα γίνεταν 
στα κεφάλνα µας, τυφλός Eldar καν 
δεν το βλέπεις; 
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θα απαντήσεις βέβανα πως δυσκολεύεσαι να το δεις, γνατί ξέρεις πως 
άλλο πράγμα το κόστος του κοινωνικού κράτους, καν άλλο πράγμα το 
κόστος του κράτους γενικά. OG τους πεις πως αν ακόµα καν σήµερα TO 
κόστος της κακοδιαχείρισης καν της διαφθοράς στο Ελληνικό κράτος 
ανέρχεται στα 55 δισεκατομμύρια ετησίως (yHOUHA!), τότε, κατά τη 
γνώμη σον, καλώς κάνουν ον ευρωπαίον καν αρνούνταν να συνεχίσουν να 
το χρηματοδοτούν, καν µας ζητούν να λάβουμε τα µέτρα µας. Kv OTL 
στο χέρν µας είναν να αποφασίσουµε τν να κάνουμε. 


θα σε ποντάξουν µε συγκρατηµένη οργή ανάκατη µε αηδία καν θα σου 
πούνε για τις αυτοκτονίες καν τα παιδιά που πεινάνε στα σχολεία. 

E μάλλον ὀχν. Δεν θα σον πούνε γιὰ τις αυτοκτονίες καν τα παιδιά 
που πεινάνε στα σχολεία, γνατί πλέον πνέει άλλος αέρας στη χώρα τους 
τελευταίους IZ μήνες καν OL αυτοκτονίες έχουν κοπεί µε το µαχαίρν. 
Χώρνα που τα παιδιά δεν πεινάνε πλέον. 

Οπότε δεν θα σου απαντήσουν καν. 

Γιατί; Δεν ξέρω. Υποθέτω πως θεωρούν OTL δεν έχει νόηµα να απα- 
ντάεν κανείς σε κάπονον που απὀ άγνονα, αφέλενα ή συμφέρον αρνεί- 
ταν να δεν πως το πρόβλημα του καπιταλισμού είναν δομικό καν πως η 
πρατική διαφθορά είναν ένα πρόσκανρο σύμπτωμα, ένα επιυφαινόµενο. 
Υποθέτω πως πιστεύουν πως όταν εμμένεν κανείς στη διαφθορά, στην 
κακοδιαχείριση και στη φοροδιαφυγή, συμβάλλει όχν στη λύση του προ- 
βλήματος της Ελλάδας, αλλά στη διαινώνισή του. 


Υποθέτω πως θα έχουν στο μυαλό τους κάπονα "μεγάλη εικόνα”, που 
τους βοηθάει να ερμηνεύσουν την εμμονή στα 55 δις της διαφθοράς του 
δημόσιον τομέα, WE AUTO πον πραγματικά είναι: Mra φευδο-μεταρρυθ- 
PLOTLXT) PEVGHN, PLA νεοφιλελεύθερη παγίδα, ένα θατσερικὀ GAOL, шо. 
περκόπορτα που θα οδηγήσει στην ἧττα του εργατικού πινήµατος, στην 
εξαθλίωση της αγροτιάς καν στο ξεπούλημα της Νρατικής περιουσίας 
(όχι απαραίτητα µε αυτή την σειρά). 

Υποθέτω πως είναν η бка. "μεγάλη εικόνα" πον τους επιτρέπει να 
αγνοούν τις NPWLHEG τελετές για τα 5210 χρόνια ano τον Τρωικό Nó- 
λεμο, ἡ τους κάθε λογής ξαδέλφους παν κουµπάρους που τοποθετούνταν 
ως µετακλητοί εδώ xv εκεί. 

Μπροστά στη µεγάλη ενκόνα όλα όσα θα μπορούσα va πω εἶναι λε- 
πτοµέρειες. θα έπρεπε να το ξέρω, ο αφελής. Τις προάλλες, στην Έβγα, 
μου το είπαν καθαρά. "Άνοιζε τα μάτια σον", μου είπανε. "Έχεις χάσει 
την επαφή σου µε την κοινωνία." 


Ги αυτὀ, που λέτε, καν συμφώνησα µε την ιδέα να οργανώσουµε απὀό- 
Φε εκλογική βραδιά. Για να ξαναβρώ την επαφή μον µε την κουνωνία. 


Λοιπόν. Έχουμε μαζευτεί όλον. О хорос Κώστας µε το Καλώδιο είναν 
εδώ και πλέον έχουµε βίντεο. Έχουμε βάλει τις κασέτες να γυρίσουν 
στην αρχή, καν περυμένουμε να σερβίρουμε την μπύρα ρυζιού ре то πον 
αρχίσουν τα ἐξιτ πολ. 


Ελπίζω µόνο να λειτουργεί το fast forward. 


Σας ασπάζομαν, 
θείος Ακάκνος 
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Οι προδιαγραφές µιας 
ιδανικής λύσης και οι 
πρωτες δοκιμές 


Πρόσφατα αντιµετωπίσαµε ένα περιστατικό που µας έκανε ν' αναθεωρήσουµε 
τη σχέση µας µε To BitTorrent. Συνειδητοποιήσαµε ότι ακόµη κι ένας 
καλορυθμισμένος OpenVPN server, ο οποίος μάλιστα βρίσκεται υπό τον πλήρη 
ἐλεγχό µας, δεν εἶναι αρκετός για να ξεχάσουμε τα τελεσιγραφικά emails του 
στιλ "σταματήστε το κατέβασμα ў υποστείτε τις συνέπειες". 


του Χρήστου Βαρελά 


Οι τακτικοί αναγνώστες θα γνωρίζετε ίσως το θαυμασμό που τρέφουµε προς τη 
σύγχρονη κρυπτογραφία. Ειδικά για την προστασία των δικτυακών πακέτων που 
στέλνουµε και λαμβάνουμε апо το Internet, συχνά προτιμάμε va τα δρομολογούμε 
μέσω ενός απομακρυσμένου OpenVPN server που εμείς οι (lol ἔχουμε στήσει κι 
ελέγχουμε και συνεπώς τον εμπιστευόµαστε πλήρως. Κάθε фора λοιπόν που βγαί- 
νουµε στον EEW κόσµο кат αυτόν τον τρόπο, та πακέταπου διακινούνται μεταξύ TOU 
υπολογιστή µας και TOU απομακρυσμένου server ταξιδεύουν µέσα από ένα ισχυρά 
κρυπτογραφημένο τούνελ και κανείς στο ενδιάµεσο δεν εἰναι σε θέση va τα διαβά- 
ζει - φυσικά οὐτε о ISP µας. 


Ta προβλήματα αρχίζουν όταν βγαίνουµε από тоу OpenVPN server, T.X., YLA уа £TULOKE- 
φθούμε ένα web site, να χρησιμοποιήσουμε ша υπηρεσία streaming, va κατεβάσουµε 
κάτι κ.ο.κ. Μπορεί o ISP µας va µη βλέπει τι κάνουμε, κάποια στιγµή όµως μοιραία 
αναδυόµαστε στο κανονικό" Internet και η δημόσια διεύθυνση IP του OpenVPN server 
καταγράφεται. Αλλά για va µη μιλάμε γενικά, ας αναφερθούμε σε éva πρόσφατο 
περιστατικό που βιώσαμε. 


Ένα περιστατικό διαφορετικό από τα άλλα 


Μεταξύ των διαφόρων άρθρων που κατά καιρούς έχουμε δημοσιεύσει περί 
OpenVPN, στο τεύχος 048  (https://deltahacker.gr/deltahacker048) eia- 
µε πόσο εὐκολο εἰναι va εγκαταστήσουµε τον δικό µας Access Server σε VPS 
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oto cloud (https://deltahacker.gr/?p=15064). Σε άλλο άρθρο του ἰδιου τεύ- 
χους πήγαμε το θέµα λίγο παρακάτω και ρυθµίσαµε évav pfSense-based router 
ώστε να λειτουργεί ως client για τον συγκεκριµένο OpenVPN Access Server 
(https://deltahacker.gr/?p=15109). Кат αυτόν τον τρόπο εἰναι πολύ εύκολο va opi- 
ζουμε κανόνες (https://deltahacker.gr/?p=15323) για to ποια μηχανήματα του τοπι- 
κού δικτύου βγαίνουν στον έξω κόσμο µέσω OpenVPN και ποια όχι, κανόνες για τις 
μέρες της εβδομάδας ή/και γιατις ώρες της ημέρας που η κίνηση ενός host δρομο- 
λογείται µέσω OpenVPN κ.ο.κ. 


Ένα παρόμοιο setup υφίσταται και στο τοπικό δίκτυο της Parabing Creations, της 
µικρής εκδοτικής πίσω απὀ το deltaHacker. Τις προάλλες, µε τη βοήθεια του 
Transmission BitTorrent client κατεβάζαμε αμέριμµνοι επεισόδια µιας σειράς που 
μας αρέσει κι όποτε έχουμε το χρόνο την παρακολουθούμε. Н εν λόγω σειρά δεν 
προβάλλεται апо τα ελληνικά κανάλια οὐτε διατίθεται µέσω Netflix (τουλάχι- 
στον όχι για τη χώρα µας), οπότε άλλον τρόπο για va τη βλέπουμε δεν έχουµε. To 
downloading των επεισοδίων έγινε µέσω OpenVPN Access Server που διατηρούμε 
σε droplet της Digital Ocean, σε datacenter στο New Jersey (η εταιρεία ονομάζει τα 
VPS της 'droplets"). Н αλήθεια εἰναι ότι από τη στιγµή που το droplet κατοικεί σε 
αμερικάνικο έδαφος, δεν θα έπρεπε να κατεβάζουµε µέσω αυτού. Αλλά ξέρετε τι 
πανίσχυρο τέρας εἰναι η συνήθεια, ειδικά όταν υποβοηθείται апо τις δυνάμεις του 
Σιγά-Μωρέ-Μη-Συμβεί-Σ-Εµένα (TM). 


Γύρωστις 48 ώρες μετά то downloading, οι δυνάμεις του Σιγά-Μωρέ-Μη-Συμβεί-Σ'-Ε- 
μένα (TM) γελούσαν εις βάρος µας - μερικές μάλιστα εἰχαν πέσει στο πάτωμα και 
δυσκολεύονταν v' ανασάνουν. Στο inbox του προσωπικού mail server του γράφοντα 
(https://deltahacker.gr/?p=14096) eixe καταφθάσει email amo τη Digital Ocean. Αφή- 
νοντας στην άκρη τα τυπικά, η ουσία του email εἰχε ως ακολούθως: 


Όμολογούμε πως δεν εἶναι η πρώτη φορά που λαμβάνουμε παρόμοιο email. Πριν 
τέσσερα περίπου χρόνια συντηρούσαμε ένα Tor exit node σε BSD VM, κάπου στην 
Καλιφόρνια. О VM provider εἰχε τραμπουκιστεί апо την MPAA και µε τη σειρά του 
τραμπούκισε εμάς. Ουσιαστικά, κάποιοι αθεόφοβοι επιβάρυναν το δίκτυο ανωνυμί- 
ας του Tor yia to κατέβασμα ταινιών, σειρών κι ένας Θεός ξέρει τι άλλο. Υπεύθυνοι 
βέβαια φανήκαμε εμείς, αφού τρέχαµε exit node και το δημόσιο ΙΡ του αντίστοιχου 
VM καταγράφηκε апо εκείνους που συμμετέχουν σε swarms μόνο και μόνο για va 
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παρακολουθούν ποιος κατεβάζει τι. Μετά то email που λάβαμε προσπαθήσαµε να 
δυσκολέψουµε τους downloaders, επιτρέποντας την ἐξοδο µόνο από συγκεκριµένα 
ports. Δεν καταφέραμε πολλά όμως. Αποφασίσαμε τελικά να συνεχίσουμε va στηρί- 
ζουμε το δίκτυο του Tor, αλλά µε éva απλό relay κι όχι µε exit node. 


Δύο χρόνια αργότερα επιχειρήσαµε va στήσουµε ξανά Tor exit node, αυτή τη φορά σε 
VPS που βρισκόταν σε datacenter λίγο έξω από το Ρέικιαβικ. Τους πρώτους μήνες 
όλα πήγαιναν καλά. Κάποια στιγµή όµως ένας administrator απὀ Ιαπωνία (ή ήταν από 
Κορέα) έστειλε email στον VPS provider, επισημαίνοντας ότι éva апо ta VPS tou па- 
ρουσίαζε συμπεριφορά χαρακτηριστική ενός malware. Σ()ούρ ινάφ, επρόκειτο για 
το VPS µας και, κάπως ἔτσι, άλλος &уас exit node μετατράπηκε σε απλό relay. 


Αυτή τη φορά, µε το email της Digital Ocean, η κατάσταση εἰχε µια σηµαντική ta- 
φορά σε σύγκριση µε τις άλλες δύο: Οι υπεύθυνοι για την αναστάτωση ήμασταν 
Χπράγματι: εμείς κι ὀχι κάποιος βαριεστηµένος λογιστής апо το Μπόουέµαν της 
Μοντάνα, ούτε ένας ζωηρός uber-haxxor-wannabe από το Ντίλι του Ανατολικού Tt- 
рор. Απαντήσαµε αµέσως στη Digital Ocean ευχαριστώντας τους για την ενηµέρω- 
ση, τους εξηγήσαµε ότι θα διερευνήσουµε το ζήτημα και θα βρούμε τον υπεύθυνο, 
ενώ τους υποσχεθήκαμε ότι αυτή η συμπεριφορά δεν θα επαναληφθεί. Μάλλον δεν 
μας πίστεψαν, απάντησαν ωστόσο ευγενικά ευχαριστώντας µας που τους ευχαρι- 
στήσαμε - βεβαίως και που συμμορφωθήκαμε προς τας υποδείξεις. 


Είναι προφανές ότι η χρήση του Ἀσυγκεκριμένου3 OpenVPN Access Server yta to Ka- 
τέβασμα περιεχομένου που προστατεύεται апо πνευματικά δικαιώματα, αποτέλε- 
σε τουλάχιστον αφελή ενέργεια από µέρους µας. Αν θέλουµεναπροστατεύουµε την 
ιδιωτικότητά µας και ταυτόχρονα να κάνουμε και xo περιστασιακό µας torrenting, 
τότε χρειαζόμαστε εναλλακτική προσέγγιση. 


Αναζητώντας τον ιδανικό VPN provider 


Το κατέβασμα µέσω BitTorrent δεν πρέπει να εἰναι ανιχνεύσιμο από τον ISP рас, κι 
αυτό διασφαλίζεται σχετικά εὐκολαχάρη oto VPN tunneling. Τοπεριστατικὀ εξάλλου 
με tov Access Server και τη Digital Ocean, αποδεικνύει ότι εκτός από τον ISP έχουμε 
у ανησυχούμε και για τον VPN provider: η ταυτότητά µας πρέπει να του είναι άγνω- 
στη. Μαζί µε το privacy ως προς τον ISP, λοιπόν, χρειαζόμαστε *Kal* anonymity ως 
προς τον VPN provider. Είναι επίσης επιθυμητή η δυνατότητα επιλογής της γεωγρα- 
φικής περιοχής όπου βρίσκεται ο VPN server. Έτσι, αναλόγως της επιλογής µας τη 
μία φορά θα φαίνεται ότι βρισκόμαστε στο Νησί του Πάσχα, την άλλη στην Ελβετία, 
την TAPAAN στο Άινταχο κ.ο.κ. Φυσικά, TO να στήσουµε éva σωρό OpenVPN servers 
σε datacenters εδώ κι εκεί στον πλανήτη, δεν αυξάνει απότομα μόνο τη δυσκολία 
διαχείρισης αλλά και το κόστος. Αυτό που θα θέλαμε εἰναι *évav* VPN provider, o 
οποίος µε χαμηλό κόστος Ва µας επιτρέπει να επιλέγουμε 'σημείο εξόδου". 


Καθώς κάναμε τη σύντομη λίστα µε τις προδιαγραφές µιας λύσης για ασφαλές 
torrenting, θυµηθήκαμµε µια εἰδηση που εἰχαμε διαβάσει στο site του περιοδικού 
(https://deltahacker.gr/?p=13298). Επρόκειτο για έρευνα που εἰχε διεξαγάγει το 
TorrentFreak, επιχειρώντας να καταγράψει την πολιτική των VPN providers ως προς 
τη διατήρηση αρχείων καταγραφής για την ταυτότητα αλλά και για τις δραστηριό- 
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τητες των πελατών τους. Όταν εἰχαμε πρωτοδιαβάσει το άρθρο, θετική εντύπωση 
μάς είχε κάνει το TorGuard. Από την πρώτη φορά που η ομώνυμη υπηρεσία μπήκε 
στο ραντάρ µας, ἔχουμε διαβάσει πολλά θετικά σχόλια γι αυτή. Αποφασίσαμε, λοι- 
тоу, OTL EXEL φτάσει η ώρα va τη δοκιμάσουμε στην πράξη. 


Υπηρεσία VPN για τους φίλους του BitTorrent 


Το буора TorGuard (https://torguard.net) παραπέμπει στο σύστημα ανωνυμίας του 
Tor, στην πραγματικότητα όμως то "Tor" αποτελείἰ αναφορά στο torrent. Н εταιρεία 
δεν κρύβει ότι απευθύνεται στους χρήστες εφαρμογών BitTorrent, παρέχοντας 
λύσεις για τη διασφάλιση της ανωνυμίας τους. Αναλυτικότερα, µε την υπηρεσία 
Anonymous Proxy ο πελάτης ρυθμίζει «εμονωμένες” εφαρμογές ώστε va χρησι- 
μοποιούν ανώνυμους διαµεσολαβητές. Από την άλλη, µε την υπηρεσία Anonymous 
VPN οι υπολογιστές µας και "όλες" οι εφαρμογές που τρέχουν εἶναι δυνατόν va 
ἔχουν ανώνυμη αλλά και κρυπτογραφηµένη πρόσβαση σε πλήθος VPN servers της 
εταιρείας ανά τον πλανήτη. Σημειώστε OTL επιτρέπεται να συνδέουµε EWC και TÉ- 
ντε συσκευές µας στους servers του TorGuard. Αν όμως διαθέτουμε έναν router o 
οποίος µπορεί να λειτουργεί ως OpenVPN client, τότε όλες οι συσκευές πίσω του 
εἶναι δυνατόν να βγαίνουν στο Internet από τους VPN servers της εταιρείας. 


Το κλειδί σε κάθε περίπτωση είναι η ανωνυμία, συγκεκριµένα η υπόσχεση για µη 
τήρηση αρχείων καταγραφής yta тоос πελάτες του TorGuard. Όποτε η εταιρείαλαµ- 
βάνει ειδοποιήσεις για παραβίαση πνευματικών δικαιωμάτων, απλά «αδυνατεί” να 
γνωρίζει ποιοι εἰναι οι χρήστες που HE TH δραστηριότητάτους παραβίασαν τα όποια 
δικαιώματα. Το δε σύστημα πληρωμών της εταιρείας είναι σε διαφορετικὀ δίκτυο 
από εκείνο µε τους proxies kat τους VPN servers, ενώ υπάρχει και δυνατότητα πλη- 
ρωμής µέσω BitCoin. Έτσι, η ταυτότητα των πελατών προστατεύεται ακόµα περισ- 
σότερο. 


Από τις δύο υπηρεσίες που παρέχονται yta тп διασφάλιση TNS ανωνυμίας επιλέξαμε 
την Anonymous VPS, αφού εκτός από την ανωνυμία µας ενδιαφέρει *kar* η ιδιωτικό- 
τητα (privacy). Για την υλοποίηση κρυπτογραφηµένων τούνελ το TorGuard επιστρα- 
τεύει τη δοκιμασμένη τεχνολογία του OpenVPN και υπάρχουν σχετικοί servers σε 


περισσότερες από 65 γεωγραφικές περιοχές ανά τον πλανήτη. Φυσικά, ο πελάτης 
EXEL τη δυνατότητα για επιλογή OpenVPN server. Αναλόγως λοιπόν της δραστηριό- 
τητάς του, δύναται να βγαίνει στο Internet апо χώρες που εἶναι φιλικές ως προς TO 
privacy ў από servers μέσω των οποίων θα έχει ανεμπόδιστη πρόσβαση σε υπηρεσί- 
ες όπως το Netflix. 
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Πώς ξεκινάμε µε vo Anonymous VPN; 


Παρέχονται μηνιαία, τρίµηνα, εξάµηνα κι ετήσια πακέτα. To ετήσιο βγαίνει στα 5 бо- 
λάρια ανά μήνα, όσο δηλαδή και то πιο φθηνό droplet της Digital Ocean. Προτείνουμε 
να ξεκινήσετε µε το μηνιαίο πακέτο, WOTE va δείτε αν η υπηρεσία σάς κάνει. Qa Tàn- 
ρώσετε 999 δολάρια αλλά τουλάχιστον θα έχετε την άνεση του χρόνου για va δο- 
κιμάσετε το TorGuard στην πράξη, καθώς και να παίξετε µε διάφορα configurations 
(γι αυτά συζητάμε στα επόμενα µέρη του αφιερώματός pac). Αν για οποιονδήποτε 
λόγο αποφασίσετε ότι η υπηρεσία Anonymous VPN του TorGuard δεν σας κάνει ἡ 
απλά δεν είστε έτοιμος για συνδρομή, µην ξεχάσετε να ακυρώσετε την τρέχουσα: 
κάντε login oto client dashboard, µετά πάνω στο όνομα της υπηρεσίας σας, ύστερα 
στο κουμπάκι Management Actions κι επιλέξτε το Request Cancellation. 


Δυνατότητες σύνδεσης 


Από τη σελίδα https://torguard.net/downloads.php κατεβάζουµε το TorGuard lite 
VPN арр, για το λειτουργικό σύστημα της προτίμησής µας (Linux, Windows, OS X). 
Πα τη σύνδεση σε κάποιον OpenVPN server θα χρειαστεί va πληκτρολογήσουμε TO 
username και το password µας στην υπηρεσία, όπως та καθορίσαμε κατά την εγγρα- 


φή µας. 


Πριν την πραγματοποίηση µιας σύνδεσης έχουµε 
©) TorGuard δυνατότητα επιλογής апоракросџёуоо OpenVPN 
server. Στο παράδειγµα έχουµε ξεχωρίσει έναν server 
στο Calgary του Καναδά (1). Για το πρωτόκολλο 
A Ve. Е. μεταφοράς πάνω апо το οποίο υλοποιείται το 

ς ‘if } κρυπτογραφημένο τούνελ, οι δυνατότητες εἰναι δύο: 
TCP ἡ UDP (2). Το TCP το προτιμάμε αν μας ενδιαφέρει 
η αξιοπιστία, αφού το πρωτόκολλο εγγυάται την 
παράδοση των πακέτων. Επίσης, τα VPN τούνελ 
Canada ES 1 πάνω апо TCP χρησιμοποιούν τυπικά ports, όπως 
Calgary το 80 ή το 443, συνεπώς σπανίως μπλοκάρονται. 
Αν πάλι πρώτο µας μέλημα είναι η ταχύτητα, π.Χ., 
λόγω εφαρμογών streaming, P2P, torrenting к.о.к., 
τότε προτείνεται να επιλέγουμε το UDP. Σε αντίθεση 
Cipher 3 µε το TCP, το πρωτόκολλο UDP δεν εγγυάται την 
παράδοση των πακέτων κι επομένως οι συνδέσεις 
πάνω ап' αυτό εἰναι λιγότερο αξιόπιστες. Στην 
πράξη πάντως σπανίως θα έχουµε προβλήματα. 
Παρέχεται εξάλλου δυνατότητα για επιλογή του 
αλγορίθμου κρυπτογράφησης (cipher) (3). О AES-256- 
CBC προσφέρει τη μέγιστη δυνατή ασφάλεια, αλλά 
ae σι | See = _ σεκάποιες περιπτώσεις έχει µια κάποια αρνητική 
επίπτωση στην ταχύτητα. Για πολύ καλό επίπεδο 
ασφάλειας αλλά *kar* ταχύτητα, προτείνεται ο AES- 
128-080. To TorGuard υποστηρίζει και tov Blowfish 
cipher (BF-CBC), ωστόσο για αυξημένες επιδόσεις kat 
ασφάλεια καλό είναι να επιλέγουμε τον AES-128-CBC. 
Αν, τέλος, θέσουμε Cipher = None, τότε η σύνδεσή 
μας προς τον απομακρυσμένο OpenVPN server δεν θα 
είναι κρυπτογραφηµένη. Αναλυτικότερα: Τα στοιχεία 
του λογαριασμού µας (username και password) 
μεταδίδονται κρυπτογραφημένα, η διεύθυνση IP που 

μας έχει δώσει ο ISP παραμένει κρυμμένη (βγαίνουμε 

cM E E - στο Internet µε το δημόσιο IP του απομακρυσμένου 
OpenVPN server), ωστόσο μεταξύ του client kat του 
Af @ П, ας CESDE-  serverósv υφίσταται κρυπτογραφημένο τούνελ kt έτσι 


nline Privacy Protection Services 


Protocol 


Status Disconnected 


Sign Up for an Account here! 


18 


Στον αγώνα για avéugo torrenting, µέρος 1/3 


o ISP µας είναι σε θέση va βλέπει τη δικτυακή µας δραστηριότητα. Θέτουμε Cipher = None όταν και μόνον όταν 
θέλουμε να κρύβουμε την ταυτότητά µας, µας ενδιαφέρει να έχουµε τη μέγιστη δυνατή ταχύτητα σύνδεσης προς 
τον OpenVPN server, ενώ την ίδια στιγμή δεν µας ενδιαφέρει το τι βλέπει ο ISP μας. 


Αφού δώσουμε τα credentials του λογαριασμού 
TorGuard µας (username kat password) στο TorGuard lite 

VPN арр, καλό είναι va τσεκάρουµε και το κουτάκι 
Remember Credentials. Έτσι, δεν θα χρειάζεται να 
τα πληκτρολογούμε κάθε фора поо θα επιχειρούμε 


à c. σύνδεση. 
Online Privacy Protection Services 


Username 


Password 


Remember Credentials 


ο ο νὰ 


TorGuard 


Online Privacy Protection Services 
Sign Up for an Account here! 


Canada 
Calgary 


Protocol UDP 

Cipher AES-256-CBC 
Status CONNECTED 
Local IP 10.24.0.6 
Remote IP 204.13.48.51 


Public IP ^ Verified 
Sent 27.048 ΚΙΒ 
Received 7.591 КІВ 
Conn. Time 00:00:37 


Disconnect 


Μετά την επίτευξη σύνδεσης то TorGuard lite VPN 

app παρουσιάζει τη διεύθυνση rou tunnel interface 
(Local IP), καθώς και τη διεύθυνση µε την οποία 
Byaivoupe στο Internet (Remote ІР). Κατά περιπτώσεις, 
είναι λογικό να θέλουμε να κάνουμε μερικούς έξτρα 
ελέγχους, µόνοι µας. Περισσότερα επ’ αυτού διαβάστε 
στην επόμενη παράγραφο. 
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өөө TG Viscosity License Activation #1 — Colder 
|0] a © э 5 py 
TorGuard <support@torguard.net> 4 February 2016 at 11:30 
To: TorGuard User <subZraw@) - > 


Reply-To: TorGuard <support@torguard.net> 
TG Viscosity License Activation #1 


Dear TorGuard User (Anonymous), 


PLEASE READ THIS EMAIL IN FULL AND PRINT IT FOR YOUR RECORDS 


This email contains the required steps to download your TG Viscosity License file #1 for installation of 
Viscosity app on your machine: 


1) Download the license by clicking on this link: https://torguard.net/dl.php?type-f&id-112123 

2) Login to your account area if prompted to. 

3) Unzip the downloaded package to extract your license file "License.lic" 

4) Proceed with installing viscosity app, downloadable from https://torguard.net/downloads.php, during 
install it will ask to select a license, choose the License.lic file. 


That's it!. 

Kindly note license can be used on only one machine, and you can reissue license anytime from clientarea > 
My Services » View Details (magnifying icon beside your active vpn service) » Management Actions » 
Disable License then Generate License and new email will be sent to you with the new license. 

Thank you for choosing us. 


Thank you, 


TorGuard.net Staff 


FAQ | Forums | Blog | Downloads | Support Desk 
Copyright (C) 2015 TorGuard.net All rights reserved. 


Οι πελάτες тоо TorGuard λαμβάνουν δωρεάν άδεια χρήσης για Tov εμπορικό OpenVPN client ονόματι Viscosity, 

ο οποίος διατίθεται για Windows και OS X (hitps://www.sparklabs.com/viscosity). To Viscosity κοστίζει εννέα 
δολάρια και είναι ο αγαπημένος µας OpenVPN client προς τους δικούς µας OpenVPN servers. Па την περίπτωση 
όµως του TorGuard, δεν βλέπουμε το λόγο va προτιμήσουμε το Viscosity έναντι rou TorGuard lite VPN app. 
Αντίθετα, στο προαναφερθέν βλέπουμε προτερήματα που δεν έχει το Viscosity. Κατ’ αρχάς, το TorGuard lite VPN 
арр to εγκαθιστούµε σε όσα μηχανήματα θέλουμε, ενώ για το Viscosity κανονικά προβλέπεται µία εγκατάσταση 
ανά άδεια χρήσης. Αλλά η πιο σηµαντική διαφοροποίηση έγκειται στα killswitches και Stealth VPN, δύο σημαντικές 
δυνατότητες που παρέχει μόνο το TorGuard lite VPN app. Περισσότερα επ’ αυτών στη συνέχεια του παρόντος 
άρθρου. 
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(ο: 
1001. ANONYMOUS VPN SERVICES 


y Unlimited Speeds 

Ж Unlimited Bandwidth 
м Anonymous IP Address. 
y PPTP - OpenVPN - L2TP 


TorGuard VPN Bal 
TorGuard 


B Peci3 


INSTALL 


2000 


Downloads 8722 Communication Similar 


10096 Anonymous VPN Service, No Logs Kept - 
1200+ VPN locations in 45 countries. 


READ MORE 


= Ge 
Q Torcuard 


»** Australia 
Melbour 


Δοκιμές και έλεγχοι 


Εφαρμογές για σύνδεση στους OpenVPN servers του 
TorGuard διατίθενται τόσο για Android όσο και για 
iOS. Είναι δωρεάν, όµως για τη σύνδεση Χρειάζονται 
τα credentials λογαριασμού µε ενεργή συνδρομή. Δεν 
έχουµε λόγο για χρήση OpenVPN στο smartphone, 
εγκαταστήσαµε ωστόσο τον επίσημο client για 
Android και παίξαµε λίγο. Παρατηρήσαμε ότι για την 
κρυπτογράφηση χρησιμοποιούταν o Blowfish cipher 
και δεν υπήρχε δυνατότητα για χρήση AES-128 ή 
AES-256. Λογικά πρόκειται για συνειδητή επιλογή 
των προγραμματιστών της εφαρµογής, ώστε να µην 
επιβαρύνεται η µπαταρία της συσκευής. Κατά τα άλλα, 
ο Χρήστης тоо app επιλέγει μεταξύ των OpenVPN 
servers που έχει η εταιρεία ανά τον πλανήτη και ot 
συνδέσεις πραγματοποιούνται επιτυχώς. 


Στους servers του TorGuard μπορούμενα 
συνδεόµαστε κι από то 'κλασικό' Unix-o- 
ειδές OpenVPN, ζητώντας του να OUUTE- 
ριφερθεί ως απλός client. Χρειαζόμαστε 
βέβαια τα απαραίτητα πιστοποιητικά 
και configuration files, τα οποία λαμβά- 
νουµε από το site tou TorGuard. Αν πάλι 
ο router µας υποστηρίζει λειτουργικό- 
τητα OpenVPN client, τότε μπορούμε va 
συνδέσουµε εκείνον στους servers του 
TorGuard. Περισσότερα για όλα αυτά δια- 
βάστε στα δύο επόμενα µέρη του αφιε- 
ρώματός µας, τα οποία ξεκινούν από τις 
σελίδες 40 και 72. 


Θέλουμε να βεβαιωθούμε για τα ακόλουθα: 


* στο Internet εμφανιζόµαστε µε το δημόσιο IP του εκάστοτε OpenVPN server κι 
Óxt µε εκείνο που µας έχει δώσει o ISP µας 


* χρησιμοποιούμε τους name servers που υποδεικνύει o OpenVPN server κι όχι 


εκείνους tou ISP 


* κατάτο κατέβασμα torrents, η δημόσια διεύθυνση IP апо тоу ISP *6gv* διαρρέει 


* είμαστε προστατευµένοι ως προς το ύπουλο WebRTC leak (BA. παρακάτω). 


Τις δικές µας δοκιμές τις κάναμε апо Eva μηχάνημα µε Windows 10, χρησιμοποιώ- 
ντας το TorGuard lite VPN app. Δείτε ta screenshots που ακολουθούν κι οπωσδήποτε 


διαβάστε τις αντίστοιχες περιγραφές. 
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© TerGuard Settings ? | Ol ma РЕЯ 
Online Privacy Protection Services 
General ^ AppKil ^ Scripts Network Proxy Servers 


AES-256-CBC τ 


Status Disconnected 


Restore Defaults 


22:14 


^ Eb @ 0а 9) Б ΕΝ „л 


Πριν την όποια δοκιμή, για την ακρίβεια πριν τη σύνδεση σε κάποιον OpenVPN server, επισκεπτόµαστε τις 
ρυθμίσεις του TorGuard lite VPN арр και συγκεκριμένα την καρτέλα Network. Εκεί, φροντίζουμε ώστε τα 
κουτάκια Prevent WebRTC Leak, Prevent IPv6 Leak και Prevent DNS Leak να είναι όλα τσεκαρισμένα. Στη συνέχεια 
συνδεόµαστε σε κάποιον από τους OpenVPN servers του TorGuard. Εμείς συνδεθήκαμε σε έναν που βρίσκεται στη 
Ζυρίχη. 


© Whats My IP Айшен? | T 


= е torguard.net ol = 


Email УРМ Routers 


i^ Le 
Liechtenstein 


La Chau» 
i 


Рота 7 


Information about IP / Hostname 


ЕУ IP Address: 31.7 


Hostname: 


Country Code: CH 
3 Letters Code: CHE 
Country Flag: Ε3 
Country Name: Switze 
Latitude: 47 
Longitude: 


Time Zone: Europe/Z. 


08:16 
15/02/2016 


Р 


Па тоу έλεγχο της δημόσιας διεύθυνσης IP µε την οποία βγαίνουµε στο Internet, το TorGuard προτείνει va 
επισκεφθούμε τη διεύθυνση http: //torguard.net/whats-my-ip.php — βεβαίως апо τον web browser της προτίμησής 
μας. Δεν είναι υποχρεωτικό va πάμε о' αυτή τη διεύθυνση. Υπάρχει µια πληθώρα sites που εμφανίζουν στον 
browser το δημόσιο IP µας (το http://ifconfig.me είν’ ένα από αυτά). Ακόμη και µια αναζήτηση του στιλ "what is 

my ip" va κάνουμε στο Google, το πρώτο αποτέλεσµα που θα επιστρέψει η μηχανή θα εἰναι το δημόσιο IP pac. 

Σε κάθε περίπτωση, από τη στιγµή που είμαστε συνδεδεμένοι σε OpenVPN server, το εν λόγω IP θα πρέπει 

γα είναι διαφορετικό από εκείνο που µας έχει δώσει o ISP µας. Αν δεν είσαστε βέβαιοι για το προαναφερθέν, 
αποσυνδεθείτε από τον OpenVPN server kt ακολούθως αναζητήστε ro IP µε κάποιους апо τους τρόπους που μόλις 
αναφέραμε. 
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©) VPN Services that Pass the X 


s://torguard.net/vpn-dns-leak-test.php чт б" = 


Anonymous VPN Proxy Email VPN Routers Blog Get Support 


TorGuard DNS Leak Test 


If you are trying to keep online activities ate with VPN servic ginating from yo computer is routed 


onymous and 


affic leaks and goes out through the under y monitoring your traffic will be able to 


jr activity. You 


n you are using is actually DNS leak-free. 


о actual domain names, like torguard.net. This action normally ta vith your ISP, however 


nt through the VPN tunnel dir: your VPN provider's DNS. If when running the | 


m your personal ISP, then you have a DNS leak. 


At TorGuard we are happy to help our customers by sharing a free, safe, 


ool on this page to test if your VPN tunnel leaks DNS requests. 


DNS IP ISP Country 


Ww Netherlands 


[74 Netherlands 


wa Netherlar 
les) Netherla 


wr Nether! 


a| Nether 


le.) Nether! 


Nether, 


Όταν είμαστε συνδεδεμένοι σε απομακρυσμένο OpenVPN server αλλά ta DNS queries απαντώνται апо κάποιον 
name server του ISP µας ή, γενικότερα, από κάποιον name server του τοπικού σημείου σύνδεσης στο Internet 
(п.х., δημόσιο Hotspot, WiFi καφετέριας, ξενοδοχείου κ.λπ.), τότε έχουµε DNS leak Kat п ιδιωτικότητά µας 
υποβαθμίζεται. Πράγματι, ενώ τα πακέτα που στέλνουµε και λαμβάνουμε παραμένουν κρυπτογραφημένα, 
κάποιος τρίτος είναι σε θέση να βλέπει ποια sites επισκεπτόµαστε, ποιες υπηρεσίες χρησιμοποιούμε κ.ο.κ. 

Οι OpenVPN servers του TorGuard είναι έτσι ρυθµισµένοι ώστε να ενημερώνουν τους πελάτες για τους δικούς 
τους name servers. Μολαταύτα, σε Κάποιες περιπτώσεις ακόµη και τότε είναι πιθανό να έχουµε DNS leak. 

Στα Windows, п.х., όπου δεν υπάρχει η έννοια του καθολικού name server, κάθε δικτυακό ενδιάμεσο (network 
interface) επιτρέπεται να έχει τον δικό του name server. Σε κάποιες περιπτώσεις το λειτουργικό αγνοεί TO 
routing table και την προκαθορισμένη πύλη, συνεπώς та DNS queries δεν αποστέλλονται µέσω rou tunneling 
interface κι έχουµε DNS leak. Ανεξαρτήτως του λειτουργικού συστήµατος που χρησιμοποιούμε, προκειµένου 
γα ελέγξουμε αν το σύστημά µας παρουσιάζει DNS leaks μπορούμε απλά va επισκεφθούμε την ιστοσελίδα 
https://torguard.net/vpn-dns-leak-test.php. Αν στους name servers που θα δούµε εκεί απουσιάζουν εκείνοι του 
ISP µας και του τοπικού δικτύου εντός του οποίου βρισκόμαστε, τότε δεν υπάρχει DNS leak. (Δεν έχουµε λόγο 
ανησυχίας av ot name servers που ανιχνευτούν είναι εκείνοι της Google ή/και της OpenDNS.) 
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© Check My Torrent IP | Pro» х 


€ C а https://torguard.net/checkmytorrentipaddress,php m E 


(Q) Channels Q, search To тэзе | аи волана | э | 88 | CP | ; ШАД Proxy Етай VPN Routers Blog Get Support 


4 Add m Stop = Remove Properties =] Layout 


Name Bytes Progress Status B/sIN B/sOUT Priority Time Left 


Torrent IP Address 


Details Files Trackers Peers Pieces Bandwidth Event Log Options Comments 


И checkMyTorrentip.png 


Trackers 


Details Files Peers Pieces Bandwidth Event Log Options Comments 


Group URL Status 


1 — http://checkmytorrentip.net/torrentip/announcephp — Trad with reason: Su Your torrent client IP 


1 Downloading 0 Seeding _ IN: 0,00 KB/s [73,7 KB/s] OUT: 0,00 KB/s [14,7 KB/s] ОНТ: port unconfirmed — Incoming Connections Received 


м Download Now 


) 08:42 
«ΕΘ ἢ ED m Ф) ΒΝ ενα 15/02/2016 


Ακόμη κι av κατεβάζουµε torrents µέσω VPN, αυτό δεν σηµαίνει ότιη διεύθυνση IP που έχουµε πάρει από τον 

ISP µας εἰναι αδύνατον να διαρρεύσει. Κάτι τέτοιο ίσως συμβεί εξαιτίας κάποιου ύπουλου bug στον BitTorrent 
client που χρησιμοποιούμε. Ίσως πάλι ο απομακρυσμένος OpenVPN πέσει, οπότε ξαφνικά θα βγαίνουµε στο 
Internet µέσω του ISP µας. Av το όποιο τοπικό firewall επιτρέπει στον BitTorrent client να κατεβάζει µέσω un- 
κρυπτογραφημένου network interface, τότε η δραστηριότητά µας ξαφνικά θα είναι ορατή στον ISP. Ένας τρόπος 
προκειµένου va βεβαιωθούμε για τη δημόσια διεύθυνση IP που έχουµε καθώς κατεβάζουµε κάποιο torrent µε 

τον αγαπημένο µας client, είναι va паре πρώτα στη διεύθυνση hitps://torguard.net/checkmytorrentipaddress.php. 
και να πάρουμε το torrent file που δίνεται апо εκεί. Το συγκεκριµένο αρχείο θα то φορτώσουμε στον BitTorrent 
client της επιλογής µας. Δεν πρόκειται να κατέβει κάτι, στους trackers όµως θα δούµε ro δημόσιο ІР που έχει ο 
client. Αν είναι διαφορετικό από εκείνο που µας έχει δώσει o ISP, τότε όλα εἰναι καλά. Αν "δεν" είναι διαφορετικό, 
βεβαιωνόμαστε κατ’ αρχάς ότι η σύνδεσή µας προς το TorGuard είναι ενεργή. Ίσως επίσης χρειαστεί να ελέγξουμε 
και για διαθέσιµες ενημερώσεις για Tov BitTorrent client. Па τις δοκιμές µας εμείς χρησιµοποιήσαµε το Tixati για 
Windows kt όλα πήγαν καλά. Επιτυχηµένη δοκιμή κάναμε και µε το Transmission για OS X. Στο δεύτερο άρθρο της 
σειράς µας, όπου στήνουμε ένα βολικό κι ασφαλές Seedbox, διασφαλίζουµε ότι όλα εἰναι καλά µε Tov BitTorrent 
client κι επιπρόσθετα φροντίζουμε ώστε να του μπλοκάρεται η πρόσβαση στο Internet, κάθε φορά που η σύνδεση 
προς τον OpenVPN server πέφτει. 
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©) VPN Services that Protect. X 


€ ΟΠ https://torguard.net/vpn-webrtc-leak-test.php Y? e m 


Home Anonymous VPN Proxy Email VPN Routers Blog Get Support 


WebRTC Test - Are You Really Secure? 


ify 


ou are trying to keep online activities anonymous and private with VPN e, it is extremely important that all traffic originating from your computer is routed 


gh the VPN n 


thr g your traffic will be able to log your activity. You 


k. If any traffic leaks and gc 


need to know if the edly secure VPN conneci 


ox and Chrome have implemented WebRTC that allo vers be that will return the local and public IP addresses for the user. 


TorGuard applic WebRTC at all times. 


ects y 


At TorGuard we are happy to help our customers by sharing a link to a free, safe, easy-to-use tool on this page to test if you are affected by the WebRTC leak 


No Leak Detected 
Your IP address WebRTC detection 


31.7.58.158 31.7.58.158 


201.131 


Private IPs: 10.22.0.6 192 


(Ў Виу VPN Service 


| 


R 08:34 
^ Е @ б, 91 0 9) Ε EN „о 


Το WebRTC (Web Real-Time Configuration) είναι ένα API που δημιουργήθηκε από το World Wide Web Consortium 
(hitp://www.w3.org) κι επιτρέπει στους browsers να επικοινωνούν απευθείας για την υλοποίηση εφαρμογών 
chat, video calling, P2P filesharing k.d., χωρίς την ανάγκη για plugins. Πριν апо έναν περίπου χρόνο ro TorrentFreak 
αποκάλυψε ότι συγκεκριμένοι browsers που υποστηρίζουν το WebRTC πάσχουν από µια σοβαρή αδυναμία, η οποία 
οδηγεί στην κατάλυση της ασφάλειας των VPN tunnels µέσω της αποκάλυψης της δημόσιας διεύθυνσης IP που 

ο VPN client έχει πάρει ano τον ISP. Μεταξύ άλλων browsers, η αδυναμία αφορά στους Firefox και Chrome kat 
εκδηλώνεται κάτω από Windows. Το TorGuard lite VPN app για Windows παρέχει προστασία κατά του WebRTC 
leak. Από τις εκδόσεις για Linux και OS X п σχετική επιλογή απουσιάζει, αφού o' αυτές τις πλατφόρμες то WebRTC 
leak δεν εκδηλώνεται. Προκειμένου να ελέγξουμε αν είµαστε ευάλωτοι ως προς το WebRTC leak bug, αρκεί va 
паре µια βόλτα από ro https://diafygi.github.io/webrtc-ips rj από ro https://torguard.net/vpn-webrtc-leak-test.php. 
Σε κάθε περίπτωση, το δημόσιο ІР που έχουµε πάρει από τον ISP δεν πρέπει να ανιχνευθεί. 
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σας 
bw 4 


V HA@KER 


NS Detect - What is» X 


à https://ipleaknet 


08:49 


Your IP Addr 


Switzerland 


Switzerland 


DNS Address detection 


> pp 
2 
ate Layer INC - Hosting 
| Your IP address ebRTC detection 


= Netherlands Netherlands 


ABSA EN ооу 


Па touc ελέγχους µας δεν είναι απαραίτητο να καταφεύγουµε στις σελίδες που προτείνει το TorGuard. 
Παράδειγμα: Апо To https://ipleak.net έχουµε δυνατότητα ελέγχου για IP/DNS/WebRTC leaks, ενώ τσεκάρουµε και 
τη δημόσια διεύθυνση IP που εμφανίζει o BitTorrent client της προτίμησής µας. 


—— 


Command Prompt - D X 


01.173.140] 


10:56 


^ E 6 ἢ ыш) Б ENG. is 


Ένα ano τα κλασικά τεστ που µας αρέσει va κάνουμε, πριν και µετά τη σύνδεση σε OpenVPN server: Ανίχνευση της 
διαδρομής (traceroute) από το µηχάνηµά µας έως συγκεκριµένο server στο Internet. Στο παράδειγµα, βρισκόμαστε 
σε ένα μηχάνημα µε Windows 10 κι апо ένα Command Prompt Window τρέχουμε то tracert για το box.colder.xyz. 
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Καταπολέμηση του Deep Packet Inspection και killswitches 


Εφαρμόζοντας τεχνικές Deep Packet Inspection (DPI, https://en.wikipedia.org/wiki/ 
Deep. packet. inspection) ένας ISP εἶναι εύκολο να διαπιστώνει αν οι πελάτες TOU 
χρησιμοποιούν κάποια τεχνολογία VPN. Σε éva αγγελικά πλασμένο Internet, το DPI 
δεν θα απασχολούσε κανέναν πελάτη. Н πραγματικότητα όµως εἰναι λίγο διαφορε- 
τική. Πα παράδειγµα, σε απολυταρχικά καθεστώτα то DPI εφαρµόζεται προκειµέ- 
VOU να επιτρέπεται й να απαγορεύεται η πρόσβαση ото Internet για τους πολίτες. 
Αλλά και σε άλλες χώρες, συχνά to DPI επιστρατεύεται προκειµένου να αποθαρρύ- 
νεται η κρυπτογράφηση. Μπορεί, π.χ., κάποιος πελάτης να έχει αγοράσει σύνδεση 
ota 24Mbps, όταν όμως χρησιμοποιεί VPN tunneling o ISP va του ελαττώνει την 
ταχύτητα στα 8Mbps (throttling). 


To TorGuard παρέχει τη δυνατότητα για το λεγόμενο Stealth VPN, κατά το οποίο τα 
κρυπτογραφημένα πακέτα μασκαρεύονται και δείχνουν v' αποτελούν μέρος απλής 
κίνησης HTTPS. H ιδέα είναι ότι οι τεχνικές DPI апо πλευράς ISP θα αποτυγχάνουν 
να κατηγοριοποιούν τα πακέτα του χρήστη, συνεπώς δεν θα µπλοκάρεται η πρό- 
σβασή tou στο Internet, οὐτε θα περιορίζεται η ταχύτητα συνδεσής του. To Stealth 
VPN δεν υποστηρίζεται από όλους τους OpenVPN servers του TorGuard, συνεπώς αν 
μας ενδιαφέρει τότε θα πρέπει να επιλέξουμε τον κατάλληλο server. Στη λίστα του 
TorGuard lite VPN app, οι υπό συζήτηση servers έχουν στα δεξιά τους ένα εικονίδιο 
που μοιάζει µε οθόνη ραντάρ. Παρεμπιπτόντως, ο γεωγραφικά εγγύτερος Stealth 
VPN server που βρήκαμε ήταν στο Άμστερνταμ. 


Να αναφέρουμε τέλος και τα killswitches, µια εξαιρετικά ενδιαφέρουσα αλλά και 
χρήσιμη δυνατότητα του TorGuard lite VPN app. Χάρη σ αυτά, отау για οποιονδήποτε 
λόγο χάνεται η σύνδεσή µας προς τον OpenVPN server, τότε μία ἡ περισσότερες 
εφαρμογές που εμείς έχουµε καθορίσει τερματίζονται αυτόματα. Σκεφτείτε, T.X., 
OTL έχουµε αφήσει Eva μηχάνημα µε Windows να κατεβάζει αμέριμνα, µε χρήση του 
αγαπημένου µας BitTorrent client. Κάποια στιγµή o απομακρυσμένος OpenVPN server 
εμφανίζει κάποιο πρόβλημα, µε αποτέλεσµαη σύνδεσή µας προς αυτόν να διακοπεί. 
Ta Windows τότε θα συνεχίσουν να βγαίνουν στο Internet µέσω της κανονικής σύν- 
δεσης προς tov ISP κι ο BitTorrent client θα συνεχίσει να κατεβάζει, προδίδοντας τη 
δραστηριότητά µας στον ISP. Θα γίνει, δηλαδή, ότι θέλαμε να αποφύγουμε - εκτός 
κι av εἰχαμε φροντίσει να προσθέσουμε τον BitTorrent client στη λίστα των εφαρμο- 
үшу που τερµατίζονται κατά τη διακοπή της σύνδεσης VPN. 


Στο δεύτερο άρθρο του αφιερώματος, που αρχίζει απὀ τη σελίδα 40, δείχνουμε 
πώς φτιάχνουμε éva ευέλικτο Seedbox µε Ubuntu Server για ανέμελο κι ασφαλές 
torrenting. Στο τρίτο και τελευταίο άρθρο, που ξεκινά апо τη σελίδα 72, ρυθµίζουµε 
κατάλληλα έναν pfSense-based router ώστε να διατηρεί ενεργές περισσότερες апо 
µία συνδέσεις σε OpenVPN servers του TorGuard. Έτσι, η δικτυακή κίνηση ενός πλή- 
θους μηχανημάτων πίσω апо το pfSense θα προστατεύεται αποτελεσματικά — κι 
αναλόγως της βασικής αποστολής του αντίστοιχου μηχανήματος. 
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Υπηρεσίες 
Active Directory, 
χωρίς βοἰϊνε-τσέπη 


[μέρος 1/2] 


Н τεχνολογία Active Directory αποτελεί ευλογία” για τα τοπικά δίκτυα µε 
συστήµατα που τρέχουν Windows. Σκεφτείτε τα µικρά εργαστήρια σχολείων και 
φροντιστηρίων ή ακόµα και τους χώρους εργασίας διαφόρων υπηρεσιών και 
άλλων φορέων. Καλά ταλέτε, θα σκεφτεί κανείς, µόνο που το Active Directory 
προὐποθέτει την παρουσία ενός Windows Server κι αυτό συνεπάγεται ένα 
καθόλου ευκαταφρόνητο κόστος. Ἡ μήπως ὀχι; 


του Πέτρου Κυλαδίτη 


Όσοι έχουν χρησιμοποιήσει συστήµατα Windows που συνδέονται σε κάποιο Windows 
Domain, εἰναι πολύ πιθανό να έχουν γνωρίσει και εκτιμήσει τις λειτουργίες του 
Active Directory. Mta από τις ευκολίες που προσφέρειη συγκεκριμένη υπηρεσία σχε- 
τίζεται µε τα λεγόμενα roaming profiles. Με απλά λόγια, ο εκάστοτε χρήστης µπορεί 
να κάθεται σε οποιοδήποτε μηχάνημα του δικτύου και µέσα σε ελάχιστο χρόνο va 
EXEL μπροστά του το δικό του desktop, µε τις δικές του ρυθμίσεις και τα δικά του 
αρχεία. Οι ευκολίες που προσφέρει το Active Directory μπορούν να αξιοποιηθούν 
апо τις επαγγελματικές εκδόσεις των Windows και μόνον από αυτές. Με άλλα àó- 
για, από τις εκδόσεις που τιτλοφορούνται ως Professional/Enterprise/Ultimate κι ὀχι 
апо εκείνες µε το χαρακτηριστικό Home. Αυτές οι εκδόσεις του λειτουργικού της 
Microsoft μπορούν να συνδέονται σε Windows Domain και να απολαμβάνουν όλες 
τις προσφερόμενες ευκολίες. Οποιοσδήποτε πιστοποιηµένος χρήστης του τοµέα 
µπορεί να συνδεθεί σε οποιοδήποτε µηχάνηµα-μέλος του τοµέα κι ато κει θα έχει 
πρόσβαση σε όλα τα δεδοµένα του. 


Στη ραχοκοκαλιά κάθε Windows Domain βρίσκεται Eva σύστημα που παίζει το ρόλο 
του διαχειριστή ή αλλιώς του domain controller. Οι υπολογιστές-µέλη του τοµέα 
χρησιμοποιούν µια ειδική υπηρεσία αυτού του κεντρικού συστήµατος, µε τη βοή- 
BELA TNC οποίας οι χρήστες πιστοποιούνται και εξακριβώνονται τα δικαιώματαπρό- 
σβασης του καθενός. Н εν λόγω υπηρεσία προέρχεται απὀ τη Microsoft και εἰναι 
κλειστού κώδικα, αν κι επί της ουσίας αποτελεί µια υλοποίηση του πρωτοκόλλου 
Kerberos, του MIT. Па то διαµοιρασμό των αρχείων επιστρατεύεταιτογνωστόπρω- 
τόκολλο SMB/CIFS. 
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Ta μηχανήματα που έχουν το ρόλο tou domain controller χρησιμοποιούν µια ειδική 
εκδοχή του λειτουργικού της Microsoft, που ονομάζεται Windows Server. Н συγκε- 
κριμένη εκδοχή προσφέρει ὀλεςτις υπηρεσίες που αναφέραμε προηγουμένως, ενώ 
ενσωματώνει τον web server IIS, τον Microsoft SQL Server к.а. Όπως υποψιάζεστε, 
εκτός апо τις διάφορες υπηρεσίες που, μεταξύ µας, δεν έχουν και την καλύτερη 
φήμη, το μεγαλύτερο μειονέκτημα του Windows Server είναι to υπέρογκο κόστος. 
Ως αποτέλεσµα, τοπικά δίκτυα που θα μπορούσαν να αξιοποιήσουν τις λειτουργίες 
του Active Directory, περιορίζονται στο μοντέλο των οικιακών οµάδων εργασίας και 
κάθε λογαριασμός χρήστη κατοικεί αποκλειστικά στο µικρόκοσµο του αντίστοιχου 
σταθμού εργασίας. 


Δωρεάν εναλλακτική 


Υπάρχει άραγε τρόπος va αξιοποιήσουµε την τεχνολογία Active Directory, χωρίς va 
επωμιστούµε TO υπέρογκο κόστος του Windows Server; Н ερώτηση εἶναι προφανώς 
ρητορική, αλλιώς το παρόν άρθρο δεν θα εἰχε κανένα λόγο ύπαρξης. 


Όπως αναφέραμε ήδη, για την πιστοποίηση των χρηστών χρησιµοποιείται µια ἐκδο- 
ση του πρωτοκόλλου Kerberos. To εν λόγω πρωτόκολλο διατίθεται και από το MIT 
µε άδεια χρήσης ελεύθερου λογισμικού κι εννοείται ότι υπάρχουν πακέταγιαὀλατα 
συστήµατα τύπου Unix, του Linux συμπεριλαμβανομένου. Με άδεια ανοιχτού κώδικα 
κυκλοφορεί και o Samba server, που υλοποιεί το πρωτόκολλο δικτύωσης SMB, ενώ 
στις τελευταίες του εκδόσεις μπορεί ν' αναλάβει αξιόπιστα το ρόλο ενός domain 
controller. Τώρα καταλαβαίνετε πού το πάμε: Θα στήσουµε έναν domain controller ре 
τη βοήθεια του Linux, για éva δίκτυο µε μηχανήματα που τρέχουν Windows. 


Πα τις ανάγκες του άρθρου στραφήκαμε στη διανομή Ubuntu Server, που θεωρείται 
ιδιαίτερα εύχρηστη και φιλική. Εξάλλου, η απουσία οποιουδήποτε περιβάλλοντος 
γραφικών, κάτι παντελώς άχρηστο για έναν domain controller, συνεπάγεται και την 
καλύτερη αξιοποίηση των πόρων του υπολογιστή µας. Αν φοβόσαστε ότι η διαχεί- 
род του Active Directory апо την κονσόλα αποτελεί µεγάλο µπελά, πρέπει να σας 
πούμε ότι δεν σκοπεύουμε να μείνουμε στη γραμμή εντολών. Πατην copa, όμως, δεν 
θα αποκαλύψουµε περισσότερα. 
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WV'HAGIKER 


Αρχικές ρυθµίσεις 


Η εγκατάσταση του Ubuntu Server είναι ιδιαίτερα απλή διαδικασία και δεν 8a δυ- 
σκολέψει κανέναν αναγνώστη. Το µόνο σηµείο που θέλει προσοχή σχετίζεται µε τη 
ρύθμιση της ζώνης ώρας. Τώρα, µπορεί va σκεφτόσαστε OTL τα χάσαμε, αλλά έχετε 
υπόψη ότι η εύρυθμη λειτουργία του Kerberos απαιτεί από τον server va έχει πάντα 
τη σωστή ώρα. Ακριβώς γι αυτό, λίγο αργότερα θα φροντίσουμε γιατην εγκατάστα- 
ση ενός NTP client (περισσότερα yta to Network Time Protocol στο άρθρο Δικτυακές 
καμπάνες", στο τεύχος 029). Όπως και να χει, µε ἡ χωρίς NTP n σωστή ζώνη ώρας 
εἶναι απαραίτητη. Όταν ολοκληρωθεί η εγκατάσταση του λειτουργικού, εισερχόµα- 
στε στο σύστημα και πριν art οτιδήποτε άλλο φροντίζουμε να πάρουμε ὀλες τις 
ενημερώσεις. Κάτι τέτοιο προὐποθέτει τα εξής δύο βήματα: Την ενηµέρωση των 
αποθετηρίων και την ενηµέρωση των εγκατεστηµένων πακέτων. Па να πετύχουμε 
και τα δύο µε μία κίνηση, αρκεί να εκτελέσουµε κάτι τέτοιο: 


$ sudo apt-get update && sudo apt-get dist-upgrade 
Στη συνέχεια προχωράμε στην εγκατάσταση тоо NTP daemon: 
$ sudo apt-get install ntp 


Οι NTP servers που χρησιμοποιούνται εξ ορισμού, αναφέρονται στο αρχείο /etc/ntp. 
conf: 


server 0.ubuntu.pool.ntp.org 
server 1.ubuntu.pool.ntp.org 
server 2.ubuntu.pool.ntp.org 
server 3.ubuntu.pool.ntp.org 


Αν θέλετε να προσθέσετε й va αφαιρέσετε κάποιον time server, µπορείτε να το KÅ- 
νετε τροποποιώντας κατάλληλα το περιεχόµενο του αρχείου. Εμείς πάντως δεν 
εἰχαμε κανένα λόγο ναπειράξουµε τη συγκεκριμένη λίστα. Στη συνέχεια, για να επι- 
βάλλουμε την άµεση ενηµέρωση της ώρας, εκτελέσαμε διαδοχικά Ta εξής: 


$ sudo service ntp stop 


$ sudo ntpdate -B 0.ubuntu.pool.ntp.org 
$ sudo service ntp start 
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petros@samba:~$ sudo service ntp restart 
[sudol passuord for petros: 
є Stopping NTP server ntpd 
= Starting NTP server ntpd 
еїго<@<атһа:^$ ntpq -p 
remote refid st t when poll reach 


dbs01.microbase 193.204.114.232 2 
cache .asda.gr 192.53.103.104 Z 


sucker .mfa.gr . INIT. 16 
ntp2.xe.gr 194.177.210.54 2 
golem.canonical .INIT. 16 
etrosesamba:^$ 


Με τον ntp daemon μπορούμε va είμαστε σίγουροι ότι το σύστηµα και ολόκληρο το Domain θα έχουν πάντα τη 
σωστή ώρα. 


Σειρά EXEL ηρύθµισητης σύνδεσης στο δίκτυο. Ξέρουμε τι σκεφτόσαστε τωρα: Εφό- 
σον λάβαμε ενημερώσεις και πήραμε την ώρα από κάποιον time server, το σύστημα 
εἶναι ήδη συνδεδεμένο στο Internet. Τι ακριβώς θα ρυθµίσουµε; Κοιτάξτε, μπορεί 
να έχουµε πρόσβαση στο Internet και σε κάθε άλλο μηχάνημα του τοπικού δικτύου, 
αλλά η σύνδεσή µας βασίζεται σε ρυθμίσεις που λάβαμε από τον router, µέσω της 
υπηρεσίας DHCP. Κάτι τέτοιο δεν συνιστά πρόβλημα για éva απλὀ σύστημα, αλλά 
εἶναι απαράδεκτο για évav server. Εφόσον το σύστηµα που στήνουμε θα παίζει κομ- 
Віко ρόλο στο τοπικό µας δίκτυο, εἶναι προτιμότερο va έχει σταθερή διεύθυνση IP. 
Па va αποτρέψουµε τη χρήση του DHCP και va επιβάλλουμε τις δικές µας μόνιμες 
ρυθμίσεις, πρέπει να επέµβουµε στο αρχείο /etc/network/interfaces. Πριν το avoi- 
Coupe, μπορούμε να ρίξουμε µια ματιά στις τρέχουσες ρυθμίσεις, ώστε va θυμηθού- 
µε ποια περιοχή διευθύνσεων χρησιµοποιείται στο τοπικό µας δίκτυο, ποια εἰναι η 
διεύθυνση του gateway κ.λπ. Κάτι τέτοιο επιτυγχάνεται εκτελώντας το ifconfig: 


$ sudo ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0c:29:86:2d:4b 
inet addr:192.168.1.108 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe86:2d4b/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:10810 errors:0 dropped:0 overruns:0 frame:0 
TX packets :4348 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes: 7635199 (7.2 MiB) TX bytes:652095 (636.8 KiB) 
lo Link encap:Local Loopback 
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inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:65536 Metric:1 

RX packets:134128 errors:0 dropped:0 overruns:0 frame:0 
TX packets:134128 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:8050376 (7.6 MiB) TX bytes:8050376 (7.6 MiB) 


Στο παραπάνω παράδειγµα, τα στοιχεία тоо µας ενδιαφέρουν βρίσκονται στην ενό- 
τητα ethO. Αφού σημειώσουμε όσα στοιχεία επιθυμούμε, μπορούμε να ανοίξουμε то 
αρχείο ρυθμίσεων: 


$ sudo nano /etc/network/interfaces 
Εκεί, πρέπει va εντοπίσουµε και va διαγράψουµε την ακόλουθη γραμμή: 


iface eth0 inet dhcp 

Στη θέση της προσθέτουμε τα εξής: 
iface eth0 inet static 

address 192.168.1.5 

network 192.168.1.1 

netmask 255.255.255.0 

broadcast 192.168.1.255 

gateway 192.168.1.1 

dns-search delta. local 
dns-nameservers 192.168.1.5 8.8.8.8 


Το δικό µας δίκτυο χρησιμοποιεί διευθύνσεις της µορφής 192.168.1.xxx και ειδικά 
για το σύστημά µας επιλέξαμε την 192.168.1.5. Προσέξτε тора тіс δύο τελευταίες 
γραμμές. Με την πρώτη από αυτές καθορίζουµε το domain name που θέλουμε να 
προσαρτάται αυτόματα στα ονόματα των διαφόρων μηχανημάτων του δικτύου µας. 
Αυτή η ρύθμιση θα διευκολύνει αργότερα τις μεταφράσεις (resolution) των ονοµά- 
των και την αντιστοίχισή τους σε διευθύνσεις IP. Στη δεύτερη γραμμή προσδιορί- 
ζουμε τους name servers που θα χρησιμοποιούνται στο τοπικό μας δίκτυο. Όπως 
βλέπετε, то буора топ επιλέξαμε για το δικό µας domain εἰναι delta, ενω xo TLD (top 
level domain name) εἶναι local. Επιπρόσθετα, ως name server θα χρησιμοποιείται το 
ίδιο το µηχάνηµά µας (192.168.1.5), καθώς και ο δημόσιος DNS της Google - αν και 
αργότερα θα тоу απομακρύνουμε. 
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GNU nano 2.2.6 File: /etc/network/ interfaces Modif ied 


This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5). 


The loopback network interface 
uto lo 


network 192.168.1.1 

broadcast 192.168.1.255 

ateway 192.168.1.1 

ns-nameseruers 192.168.1.5 8.8.8.8 
ns-search delta.local 


This is an autoconfigured IPu6 interface 
iface ethO inet6 auto 


[] Get Help #1 UriteDut [47 Read File @ | Prev Page W] Cut Text W Cur Pos 
ДЖ Justify | Where Is @Y Next Page gl UnCut Техї То Spell 


Από το αρχείο /etc/network/interfaces απενεργοποιούµε τη χρήση της υπηρεσίας DHCP και ορίζουµε µια στατική 
διεύθυνση για τον Domain Controller. 


Μετά από την προσθήκη των γραμμών που εἰδαμε, αποθηκεύουµε το αρχείο /etc/ 
netwotk/interfaces και κλείνουμε τον editor. Σε αυτή τη φάση απομένουν δύο ακόµα 
απλές ρυθμίσεις. Αφενός πρέπει να καθορίσουμε το δικτυακό όνομα του μηχανή- 
ματός µας, αφετέρου πρέπει va αντιστοιχίσουµε στο όνομα τη διεύθυνση που επι- 
Aé&aue προηγουμένως. Αυτές οι ρυθμίσεις πραγματοποιούνται από τα αρχεία /etc/ 
hostname και /etc/hosts αντίστοιχα. Μέσα στο πρώτο βάζουμε το буора tou nxa- 
νήματος най µε το domain name (εμείς επιλέξαμε το samba delta.local), ενώ μέσα 
στο δεύτερο αρχείο προσθέτουμε µια γραμμή της ακόλουθης μορφής: 


«διεύθυνση IP» «πλήρες όνοµα μηχανήματος» 


Στο δικό µας μηχάνημα, η παραπάνω γραμμή είχε ως εξής: 


192.168.1.5 samba.delta.local 


33 


WVHAGKER 


Τώρα μπορούμε να προχωρήσουμε σε µια επανεκκίνηση: 


$ sudo reboot 


Κύριος εξοπλισμός 


Μόλις επανέλθει το σύστηµα μπορούμε να κάνουμε µια γρήγορη επιβεβαίωση. Ap- 
κεί va τρέξουµε το προγραμματάκι ifconfig και στη συνέχεια το hostname, ώστε va 
τσεκάρουµε αν οι ρυθµίσεις εφαρμόστηκαν µε επιτυχία. Εφόσον η δικτυακή σύνδε- 
ση λειτουργεί κανονικά, προχωράμε στην εγκατάσταση του Kerberos µε τη βοήθεια 
του apt-get: 


$ sudo apt-get install krb5-kdc krb5-user 


To πρώτο πακέτο (krb5-kdc) εγκαθιστά τα εξαρτήματα Authentication Service kat Key 
Distribution Center του Kerberos, ενώ το δεύτερο πακέτο (krb5-user) εγκαθιστά opt- 
σµένα βοηθητικά εργαλεία για τη διαχείριση της υπηρεσίας. Έχετε υπόψη OTL to 
акёто krb5 βασίζεται σε µια σωρεία ἄλλων πακέτων, που το apt-get θα προσπαθή- 
OEL να εγκαταστήσει αυτόματα. Στη σχετική ερώτηση үа to αν θέλουμε κάτι τέτοιο 
ρέπει να απαντήσουμε θετικά, χωρίς την παραμικρή ανησυχία για τη διάρκεια της 
εγκατάστασης ἡ για το διαθέσιμο хоро του δίσκου (τα απαιτούμενα πακέτα είναι 
ολύ μικρά). 


Reading state information... Done 

The following extra packages will be installed: 
attr krb5-config krb5-user libaiol libavahi-client3 libavahi-common-data 
libavahi-common3 libcups2 libfile-copy-recursive-perl libgmp10 
libgssapi-krb5-2 libgssrpc4 libhdb9-heimdal libkadm5clnt-mit9 
libkadm5sru-mit9 libkdb5-? libkdc2-heimdal libkrb5-3 libkrb5supportO libldbi 
libntdbi libopts25 libtalloc2 libtdbi1 libteuentO libverto-libevent1i 
libuerto1 libubclientO python-crypto python-dnspython python-ldb python-ntdb 
python-samba python-talloc python-tdb samba-common samba-common-bin 
samba-dsdb-modules samba-libs samba-ufs-modules tdb-tools update-inetd 

Suggested packages: 
openbsd-inetd inet-superserver krb5-kdc-ldap cups-common krb5-doc ntp-doc 
python-crypto-dbg python-crypto-doc bind9 bind9utils ldb-tools smbldap-tools 
winbind heindal-clients 

The following NEU packages will be installed: 
attr krbS-admin-server krb5-config krb5-kdc krb5-user libaioi 
libavahi-client3 libavahi-common-data libavahi-common3 libcups2 
libfile-copy-recursiue-perl libgmp10 libgssrpc4 libhdb9-heimdal 
libkadm5clnt-mit9 libkadm5sru-mit9 libkdb5-7 libkdc2-heimdal libldbi 
libntdbi libopts25 libtalloc2 libtdbi libteventO libuerto-libeventi 
libyerto1 libubclientO пёр python-crypto python-dnspython python-ldb 
puthon-ntdb python-samba python-talloc python-tdb samba samba-common 
samba-common-bin samba-dsdb-modules samba-libs samba-ufs-modules tdb-tools 
update-inetd 

The folloving packages vill be upgraded: 
libgssapi-krb5-2 libkrb5-3 libkrb5supportO 

3 upgraded, 43 newly installed, 0 to remove and 39 not upgraded. 

Need to get 9,629 kB of archives. 

After this operation, 50.6 MB of additional disk space will be used. 

Do you want to continue? [Y/n] 


Τα πρόσθετα πακέτα που απαιτούνται για την εγκατάσταση των Kerberos Και Samba είναι αρκετά. Μην σας 
τρομάζει το πλήθος τους: Πρόκειται για μικρά προγράµµατα поо θα κατέβουν αμέσως και θα καταλάβουν 
ελάχιστο χώρο στο δίσκο. 
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Όταν ολοκληρωθεί η εγκατάσταση, θα єктєАєотє{ αυτόματα to Kerberos 
Authentication Configuration Tool. Το συγκεκριµένο εργαλείο ζητά απὀ το χρήστη 
ορισμένα δεδοµένα για τη βασική ρύθμιση του Kerberos. 


ackage conf iguration 


Configuring Kerberos fiuthentication 
When users attempt to use Kerberos and specify a principal or user name 
without specifying what administrative Kerberos realm that principal 
belongs to, the system appends the default realm. The default realm may 
also be used as the realm of a Kerberos service running on the local 
machine. Often, the default realm is the uppercase version of the local 
DNS domain. 


Default Kerberos version 5 realm: 


DELTA . LOCAL 


<0k> 


Μετά την εγκατάσταση του Kerberos θα χρειαστεί va πραγµατοποιήσουµε µια πρώτη, βασική ρύθμιση της 
υπηρεσίας. Αργότερα θα αλλάξουμε όλες τις ρυθμίσεις µε τη βοήθεια του samba-tool, αλλά εἶναι φρόνιµο να µην 
προσπεράσουµε αυτό το βήμα kat να φανούμε προσεκτικοί. 


Στο πεδίο default realm βάζουμε το domain name που επιλέξαμε για το τοπικό µας 
δίκτυο, ενώ στο πεδίο Administrative Server δίνουμε το hostname του μηχανήματος. 
Σημειώστε OTL και στις δύο περιπτώσεις πρέπει va πληκτρολογήσουμε τα ovóua- 
τα µε κεφαλαίους χαρακτήρες! Εμείς, για παράδειγµα, we default realm δώσαμε το 
DELTA.LOCAL, ενώ we Administrative Server δώσαμε to Samba.DELTA.LOCAL. Αμέ- 
σως µετά προχωράμε στην εγκατάσταση της Samba: 


$ sudo apt-get install samba smbclient 


Όπως καταλαβαίνετε, το πακέτο samba εγκαθιστά Tov Samba server, ενώ to TAKÉTO 
smbclient περιλαμβάνει εργαλεία για τη σύνδεση otov πρωτο. Με τα βοηθητικά £p- 
γαλείαθα πραγματοποιήσουµμε τις πρώτες δοκιμές µας. Όπως και στην περίπτωση 
του Kerberos, η εγκατάσταση του samba συμπαρασύρει πολλά άλλα πακέτα. Στη 
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σχετική ερώτηση Tou apt-get πρέπει va απαντήσουμε θετικά, αλλά και πάλι χωρίς 
ανησυχία. Σκεφτείτε OTL όλα та απαιτούμενα πακέτα για τη λειτουργία των Kerberos 
kat Samba, καταλαμβάνουν σχεδόν 50MB. Μιλάμε για ψίχουλα! Μήπως αναρωτιέ- 
στε τι µας έπιασε κι επιµένουμµε τόσο πολύ στον αποθηκευτικό χώρο; Με τη λύση 
που παρουσιάζουμε, ο πανάκριβος και βαρύς Windows Server θα μπορούσε να αντι- 
κατασταθεί από éva παλιό και παραμελημένο μηχάνημα - ἡ ακόµα και апо ένα λιλι- 
πούτειο Raspberry Pi. 


Μόλις ολοκληρωθεί κι αυτός ο κύκλος εγκαταστάσεων, μπορούμε va ξεκινήσου- 
ug τον Samba server και, ουσιαστικά, να ενεργοποιήσουµε τον Domain Controller. 
Πα το σκοπό αυτό θα χρησιμοποιήσουμε το εργαλείο samba-tool. Πριν to τρέξουμε 
όμως πρέπει να μετονομάσουμετο αρχείο HE TLC υπάρχουσες ρυθμίσεις του Samba 
server. Με αυτόν τον τρόπο αποφεύγουμε την ενδεχόμενη εμφάνιση ορισμένων 
σφαλμάτων. 


$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.old 


Ουσιαστικά, µε την παραπάνω μετονομασία εξασφαλίζουµε την απομάκρυνση όλων 
των εργοστασιακών ρυθµίσεων. Στη συνέχεια μπορούμε να ξεκινήσουμε το samba- 
tool ως εξής: 


$ sudo samba-tool domain provision --use-rfc2307 --interactive --use-ntvfs 


To εργαλείο θα ξεκινήσει και θα µας απευθύνει µια σειρά ερωτήσεων για τη λει- 
τουργία του domain controller που θέλουμε va στήσουμε. Οι προεπιλεγμένες anad- 
ντήσεις εἰναι ικανοποιητικές και στα περισσότερα βήματα μπορούμε να δίνουμε ένα 
ENTER. Κατά τη διάρκεια των δικών µας δοκιμών, δώσαμε τα ακόλουθα στοιχεία: 


Realm: DELTA.LOCAL 

Domain: DELTA 

Server Role: dc 

DNS Backend: SAMBA INTERNAL 

DNS Forwarder IP: 8.8.8.8 
Administrator Password: sTronGPaSswOrd 


Προφανώς, στα πεδία Realm kat Domain δίνουμε τα αντίστοιχα ovópata που επιλέ- 
саре για TO τοπικὀ µας δίκτυο, ενώ στο DNS Forwarder μπορούμε va χρησιµοποιή- 
σουµε οποιονδήποτε ἄλλο DNS server και όχι κατ' ανάγκη αυτόν της Google (8.8.8.8). 
О κωδικός διαχειριστή που δίνουμε εδώ, απαιτείται για την προσθήκη κάθε νέου 
συστήµατος στο domain. Έχετε υπόψη OTL το µήκος του πρέπει να ξεπερνά τους 8 
χαρακτήρες και να περιλαμβάνει πεζά, κεφαλαία και αριθμούς. Σημειώστε επίσης 
ότι για λόγους ασφάλειας, ο κωδικός του διαχειριστή έχει και ηµεροµηνία λήξης. 
Αν το біко σας τοπικὀ δίκτυο χρησιµοποιείται апо χρήστες που εμπιστεύεστε και 
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θεωρείτε υπερβολικά τα µέτρα ασφαλείας περί tou κωδικού, δεν υπάρχει λόγος να 
δυσανασχετείτε. Με τη βοήθεια του samba-tool μπορούμε να αλλάξουμε τις σχε- 
τικές ρυθμίσεις πανεύκολα. Па να επιτρέψουμε τη χρήση απλούστερων κωδικών, 
αρκεί va δώσουμε κάτι τέτοιο: 


$ sudo samba-tool domain passwordsettings set --complexity-off 


Осо yia τη λειτουργία λήξης του κωδικού, μπορούμε va την απενεργοποιήσουµε ως 
εξής: 


$ sudo samba-tool user setexpiry Administrator --noexpiry 


Τέλος, στην περίπτωση που ξεχάσουμε tov κωδικό, μπορούμε va τον αλλάξουμε 
γράφοντας κάτι τέτοιο: 


$ sudo samba-tool user setpassword Administrator 


Πάντως, ανεξάρτητα από τη φύση του δικού σας δικτύου και την εμπιστοσύνη που 
νιώθετε προς τους χρήστες, εμείς θα σας προτείναμε να µην καταργήσετε κανένα 
από τα δύο µέτρα ασφαλείας. Θα ήταν φρόνιμο να µην απλοποιήσετε τη µορφή του 
κωδικού και να απενεργοποιήσετε µόνο την αυτόματη λήξη. Χρησιμοποιώντας "ευ- 
κολότερους" κωδικούς υποβαθµίζετε σε μεγάλο βαθμό την ασφάλεια του domain 
και δεν υπάρχει κανένας λόγος να κάνετε κάτι τέτοιο. 


Αν δεν το έχετε αντιληφθεί ακόµα, πρέπει να σας πούμε ότι το samba-tool είναι 
εξαιρετικό εργαλείο. Σκεφθείτε ότι ρυθµίζοντας το Samba server, to προγραμματά- 
κι ετοιμάζει αυτομάτως κι Eva αρχείο ρυθμίσεων για το Kerberos. Εμείς, για λόγους 
ασφάλειας (φύλαγε τα ρούχα σου), δεν διαγράψαµε το παλιό αρχείο ρυθμίσεων του 
Kerberos, αλλά φροντίσαµε να to μετονομάσουμε: 


$ sudo mv /etc/krb5.conf /etc/krb5.conf.old 


Αν νομίζετε OTL συνεχίσαµε μετακινώντας το αρχείο που δημιούργησε το samba- 
tool, κάνετε λάθος. Το συγκεκριµένο εργαλείο ενδέχεται να το χρησιμοποιήσουμε 
αρκετές φορές ακόµα και κάθε φορά θα παράγει Eva νέο αρχείο ρυθµίσεων για то 
Kerberos. Па να µην χρειάζεται κάθε φορά η κατάλληλη µετακίνηση/αντιγραφή, Ká- 
vape κάτι πιο πονηρό: Δημιουργήσαμε éva σύνδεσμο (soft link) апо τη θέση όπου то 
samba-tool παράγει το αρχείο ρυθμίσεων, προς τη θέση опоо περιμένει να τις βρει 
το Kerberos: 


$ sudo 1n -sf /var/lib/samba/private/krb5.conf /etc/krb5.conf 
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€ αυτό TO κολπάκι, η ρύθμιση tou Kerberos δεν θα µας απασχολήσει ποτέ ξανά. 
Θα χρησιμοποιούμε µόνο το samba-tool και όλα τα υπόλοιπα θα γίνονται αυτόματα. 


воа στον CAO ενθουσιασμό που µας διακατέχει, ξεχάσαµε να σας πούμε κάτι ON- 
μαντικό: О Domain Controller είναι ἔτοιμος να σερβίρει τις υπηρεσίες tou Active 
Directory σε όλους τους υπολογιστές του τοπικού δικτύου που τρέχουν Windows! Αν 
θέλετε va μάθετε πως Ba тіс αξιοποιήσετε, πηγαίνετε τώρα στο άρθροπου αρχίζει 
από τη σελίδα 60 του τεύχους. 


petros@samba:~$ sudo samba-tool domain provision --interactive 

ealm [CDELTA.LOCAL]: DELTA.LOCAL 

Domain [DELTA]: DELTA 

Server Role (dc, member, standalone) [dc]: dc 

DNS backend (SAMBA_INTERNAL, BIND9 FLATFILE, BIND9 DLZ, NONE) CSAMBA_INTERNAL]: 
SAMBA_INTERNAL 

DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.5]: 8. 
6.8.8 


Administrator password: 


To samba-tool αποτελεί ένα πολυεργαλείο και μάλιστα πολύτιμο. Με τη βοήθειά του μπορούμε πανεύκολανα 
αναθέσουµε στον Samba server το ρόλο του Domain Controller. 
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Ταχύτατα VPSes oto cloud, σε hosts µε δίσµους SSD. 
Επιβογή datacenter σε Ευρώπη, Αμεριµή μαι Ασία. 
Lean-mean control panel, yia απόῆυτο έβεγχο. 


Αποητήστε τώρα το δικό oas VPS, 

στο cloud της DigitalOcean. 

Κάντε KAIK στο http://bit.ly/digocean10off 
και κερδίστε αυτομάτως 105 oe credit. 


Hint: Επιβέγοντας το µιμρό πϑάνο, 

πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιµά έχετε δύο µήνες δωρεάν yia ένα VPS 
µε 512MB RAM, 20GB SSD και 1TB transfer. 


m Δεν είναι KI άσχημα 


Skill: Intermediate 
Tags: Seedbox, BitTorrent, Transmission, TorGuard, OpenVPN, DNS leaks, iptables 


Στον αγώνα για ανέµελο torrenting, µέρος 2/3 


Δημιουργία βολικού 
κι ασφαλούς 
Seedbox 


Φανταζόμαστε πως θα συμφωνείτε κι εσείς ότι αλλιώς ακούγεται 
όταν μιλάμε για "κατεβαστήρι" κι αλλιώς όταν μιλάμε για "Seedbox". 
Όπως και να χει, το προαναφερθέν είναι Eva κατεβαστήρι όπου 
χρησιμοποιείται το πρωτόκολλο BitTorrent. Θα δούµε σε λίγο ότι 
είναι πολύ βολικό να έχουµε το δικό µας Seedbox. Φυσικά, πέρα апо 
την ευκολία χρειαζόμαστε κι ασφάλεια - ἡ ακριβέστερα ανωνυμία 
*kat* Ιδιωτικότητα. Ευτυχώς, μπορούμε va Ta έχουµε και τα δύο. 


του Χρήστου Βαρελά 


To Seedbox που πρόκειται να φτιάξουμε θα κατοικεί στο οικιακό µας δίκτυο κι όχι 
στο cloud. Αυτό θα φανεί παράξενο στους επαγγελματίες downloaders, αφού τα 
Seedbox στο cloud παρέχουν τρομακτικές ταχύτητες download/upload αλλά κι ανω- 
νυμίαγια touc χρήστες τους. Πράγματι, ETOL έχουν τα πράγματα, μόνο που εµείς δεν 
εἰμαστε επαγγελματίες downloaders. Τι va κάνουμε, δεν συνηθίζουµε να κατεβάζου- 
µε το τοπικό χωροχρονικὀ συνεχές, οπότε οι υψηλές ταχύτητες download/upload 
δεν µας ελκύουν ιδιαίτερα. Όταν μάλιστα συνυπολογίζουµε το σχετικά υψηλό KÓ- 
στος ενός καλού Seedbox και στο καπάκι θυμόμαστε ότι χρειάζεται να συμμετέχου- 
µε σε κάποιον private tracker, τότε σηκώνουµε τους ώμους αδιάφορα, γυρίζουμε το 
κεφάλι «ελαφρως” στο πλάι και βγάζουμε µια απαξιωτική φωνούλα του στιλ "μὺ 
eee" (ένρινα και TO "i μόλις που ακούγεται). Τότε, λοιπόν, τι στο καλό το θέλουµετο 
Seedbox, µέσα oto τοπικὀ µας δίκτυο; 


Πολύ απλά, για το περιστασιακὀ downloading µέσω BitTorrent προτιµάµε ένα Linux 
box -εικονικὀ ἡ φυσικό δεν έχει σημασία-, χωρίς οθόνη. Н διαχείριση του box γίνε- 
ται από τη γραμμή εντολών, µε απομακρυσμένη σύνδεση µέσω SSH. О δε χειρισμός 
των torrents και του downloading γίνεται επίσης από τη γραμμή εντολών, T.X., µε 
τη βοήθεια ενός εργαλείου σαν то rtorrent ἡ cav το transmission-cli. Επιπρόσθετα, 
παρέχεται κι EVA κατάλληλο web panel ώστε va εργαζόµαστε апо άλλον υπολογι- 
στή κι апо tov browser της προτίμησής µας. Па та ζητήματα της ανωνυμίας και της 
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ιδιωτικότητας καταφεύγουµε στη λύση του TorGuard, Wote αφενός о ISP µας να µην 
έχει ιδέα για το τι κάνουμε (privacy), αφετέρου να µηδενιστεί η πιθανότητα λήψης 
προειδοποιητικών emails του στιλ "σταματήστε το downloading ἡ υποστείτε τις συ- 
νέπειες" (anonymity, βλ. και άρθρο στη σελίδα 14). 


Οι προδιαγραφές του Seedbox 


Αν έχετε Raspberry Pi model B ή καλύτερο και σκεφτόσαστε пис уа το αξιοποιήσετε, 
να ξέρετε ὁτι δύναται v' αποτελέσει ἀριστο Seedbox. Κατά πάσα πιθανότητα θα του 
συνδέσετε κι ἕναν εξωτερικό δίσκο USB, αλλά σε κάθε περίπτωση μιλάμε για ένα 
κομψό, αθόρυβο κι ενεργειακά οικονομικό setup. Αυτή την περίοδο δεν µας περισ- 
σεύει κάποιο Raspberry Pi, οπότε αποφασίσαμε να δημιουργήσουμε éva véo KVM VM 
στον virtualization host ре to openSUSE που έχουμε (htips://deltahacker.gr/?p=15388). 
Στην εικονική μηχανή δώσαμε 768MiB RAM, δύο επεξεργαστές και δυναμικό σκληρό 
δίσκο 64GiB. Ως guest OS επιλέξαμε το Ubuntu Server 14.04 LTS 64bit και μετά την 
εγκατάστασή του φροντίσαµε και προσαρτήσαµε ένα exported NFS directory, апо 
τον virtualization host. (Πα το NFS και την προσάρτηση exported directories διαβάστε 
στο https://deltahacker.gr/?p=15549,) Σ' αυτή τη θέση αποθηκεύονται τα αρχεία που 
κατεβαίνουν. Είναι μάλιστα εύκολη η µεταφοράτους σε άλλο exported NSF directory, 
το οποίο βλέπει ένα KVM VM σε ρόλο Plex media server. Αλλά ας µην ξεφεύγου- 
με. Πριν συνεχίσουμε, ας σημειώσουμε πως δεν εἶναι απαραίτητο να δουλέψετε κι 
εσείς σε εικονικό περιβάλλον.Ίσως, T.X., αποφασίσετε να δώσετε νέα αποστολή σε 
éva ταπεινό PC που μέχρι σήμερα δεν σας εξυπηρετούσε. 


Προετοιμασία του OS 


Κατά την εγκατάσταση του Ubuntu ζητήσαμε να εγκατασταθεί και να ενεργοποιηθεί 
о OpenSSH server. Να σημειώσουμε εδώ ότι στα Linux VMs/boxes που ἔχουμε, фро- 
ντίζουμε ώστε va συνδεόµαστε ох µε πληκτρολόγηση username/password αλλά με 
βάση το κατάλληλο ζεύγος ιδιωτικού/δηµοσίου κλειδιού. Περισσότερα επ’ αυτού 
διαβάστε στο https://deltahacker.gr/?p=13357. 


Όταν ολοκληρώθηκε η εγκατάσταση του λειτουργικού συνδεθήκαµε στο VM ano- 
μακρυσμένα, µέσω SSH, κι αμέσως ενηµερώσαμε την τοπική λίστα µε τα διαθέσιµα 
πακέτα των αποθετηρίων (repositories): 


sub0@seedbox:~$ sudo apt-get update 
Στη συνέχεια αναβαθµίσαµε τα όποια πακέτα χρειάζονταν avagá8pton: 
sub0@seedbox:~$ sudo apt-get dist-upgrade 


Όπως βλέπετε, οι εργασίες που απαιτούν δικαιώµατα διαχειριστή (root) γίνονται 
апо το λογαριασμό του απλού µας χρήστη ($060) και µε τη βοήθεια του sudo. Την 
πρώτη φορά που καλούμε το sudo μάς ζητείται η πληκτρολόγηση password. Σημει- 
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ώστε OTL αυτό δεν ζητείται διαρκώς. Ακριβέστερα, To sudo ζητά password µόνον 
εφόσον έχουν περάσει τουλάχιστον 15 λεπτά από την τελευταία фора поо to δώσα- 
με. Το θέµα είναι OTL στο συγκεκριµένο VM δεν υπάρχει λόγος να πληκτρολογούμε 
password για το sudo, οὐτε μία φορά. Προκειμένου λοιπόν va µη µας ζητηθεί ξανά 
password για το sudo, πληκτρολογούμε 


sub0@seedbox:~$ sudo visudo 
και στο τέλος του αρχείου που ανοίγει προσθέτουμε την ακόλουθη γραμμή: 
sub0 ALL=(ALL) NOPASSWD: ALL 


Στο Ubuntu, o editor που καλείται pe то visudo δεν είναι to vi αλλά то nano. Έτσι, για 
у αποθηκεύσουµε την αλλαγή πατάμε το συνδυασμό πλήκτρων [CTRL+O] και μετά 
то [Enter]. Tov editor τον εγκαταλείπουµε δίνοντας [CTRL+X]. Н αλλαγή θα ληφθεί 
υπόψη την επόμενη фора που θα συνδεθούµε στο λογαριασμό µας, οπότε κάνουμε 
τώρα ένα logout κι αµέσως µετά ένα (SSH) login. 


Τωρα, αν στο τερματικό σας βλέπετε ειδοποιήσεις περί locales που δεν έχουν ορι- 
στεί κ.λπ., τότε µε δικαιώµατα διαχειριστή ανοίξτε το αρχείο /etc/default/locale... 


sub0@seedbox:~$ sudo nano /etc/default/locale 
кає φροντίστε WOTE τα περιεχόμενά TOU να μοιάζουν µε τα ακόλουθα: 


LANG-"en US.UTF-8" 
LC ALL-"en US.UTF-8" 
LANGUAGE-"en US.UTF-8" 


Αποθηκεύστε την αλλαγή, εγκαταλείψτε τον editor και µετά πληκτρολογήστε 


sub0@seedbox:~$ sudo locale-gen 


Εγκατάσταση Transmission 


О BitTorrent client που επιλέγουμε για το Seedbox µας εἰναι το άριστο Transmission, 
το οποίο μεταξύ άλλων παρέχει κι ένα απλό, брорфо και λειτουργικό web panel. Από 
οποιονδήποτε υπολογιστή του τοπικού δικτύου και µε τον web browser της προ- 
τἰμησής µας, θα συνδεόµαστε στο εν λόγω panel ώστε у ανεβάζουµε torrents για 
«κατέβασμα, βεβαίως και yta va διαχειριζόµαστε τα downloads. H εγκατάσταση του 
Transmission απαιτεί την προσθήκη του κατάλληλου PPA: 
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sub0@seedbox:~$ sudo add-apt-repository ppa:transmissionbt/ppa 
Αμέσως µετά φρεσκάρουµε ола ta αποθετήρια... 

sub0@seedbox:~$ sudo apt-get update 
..Kt εγκαθιστούµε TO Transmission ως ακολούθως: 


sub0@seedbox:~$ sudo apt-get install transmission-cli transmission-common 
transmission-daemon 


Απαραίτητες ρυθµίσεις 
Πριν αρχίσουμε να παίζουµε µε το Transmission επιβάλλεται νατροποποιήσουµεσυ- 


γκεκριμένες παραμέτρους της λειτουργίας του. Επειδή ο συγκεκριμένος BitTorrent 
client λειτουργεί ως υπηρεσία, προς το παρόν τη σταματάμε: 


sub0@seedbox:~$ sudo service transmission-daemon stop 


To κεντρικὀ αρχείο ρυθµίσεων εἶναι το /etc/transmission-daemon/settings.json. To 
ανοίγουμε µε το nano - εννοείται µε δικαιώµατα διαχειριστή: 


sub0@seedbox:~$ sudo nano /etc/transmission-daemon/settings. json 


Εντοπίζουµε τις γραμμές που μοιάζουν ре τις ακόλουθες και τις αλλάζουμε για τη 
δική µας εγκατάσταση (η αρίθμηση δεν υπάρχει στο αρχείο, απλά την προσθέσαµε 
εμείς εδώ για ευκολία στην αναφορά) 


"download-dir": "/home/sub0/exported/Downloads", 

"incomplete-dir": "/home/sub0/exported/Downloads", 
"incomplete-dir-enabled": false, 

"rpc-password": " (01965c7d11ff87bbb442f6d1fc1e957bcf316e578JLabmY/" 
"rpc-username": "transmission" 

Wyeast s A700.) η 110) 220). 9X0). ΠΡ 5 Wd. 10) 597 
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Ας δούμε λίγο τι γίνεται σε κάθε μία από τις προηγούμενες γραμμές. Στις 1 και 2 
ορίζουμε τις πλήρεις διαδρομές των καταλόγων για τα αρχεία που έχουν κατέβει, 
καθώς και για εκείνα που κατεβαίνουν αλλά το downloading δεν έχει ολοκληρωθεί. 
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Όπως βλέπετε, προτιμάµε τον ίδιο κατάλογο TOGO yia ta ολοκληρωμένα downloads, 
осо και για εκείνα εν εξελίξει. Εξ ορισμού πάντως o φάκελος για τα µη-ολοκληρω- 
μένα downloads δεν χρησιμοποιείται (βλ. γραμμή 3) και προς το παρὀν μάς αρέσει 
αυτό. Αν θέλετε τον εν λόγω κατάλογο, στη γραμμή 3 µην ξεχάσετε ν' αλλάξετε TO 
false σε true. Στις γραμμές 4 και 5 ορίζουμε το буора TOU χρήστη για τη σύνδεση oto 
web panel, καθώς kat to password του. Σημειώστε ότι μόλις ενεργοποιήσουμε ξανά 
tov Transmission daemon, στο αρχείο settings.json to password θα αντικατασταθεί 
µε то НАТ hash του. Αυτό που βλέπετε στο παράδειγμά µας, λοιπόν, δεν εἰναι το 
password µας αλλά το hash του password. Στη δε γραμμή 6 ορίζουμε από πού επι- 
τρέπονται συνδέσεις ото web panel tou Transmission. Λογικό είναι να επιτρέπουµε 
εκείνες που ξεκινούν από τον ἰδιο τον υπολογιστή (127.0.0.1), καθώς κι εκείνες από 
άλλα μηχανήματα του τοπικού δικτύου. Στο τοπικό µας δίκτυο οι συσκευές έχουν 
διευθύνσεις IP της μορφής 192.168.10.*. Στο δικό σας μάλλον θα έχουν διευθύνσεις 
διαφορετικής μορφής, οπότε τροποποιήστε την παράμετρο rpc-whitelist αναλόγως. 
Oa παρατηρήσατε εξάλλου ότι στην παράμετρο rpc-whitelist έχουµε συμπεριλάβει 
και διευθύνσεις της μορφής 10.20.30... Αυτό το κάναμε διότι τέτοιες διευθύνσεις 
λαμβάνουν οι clients του OpenVPN server που τρέχει στο pfSense box του τοπικού 
μας δικτύου (https://deltahacker.gr/?p=12109). Όποτε βρισκόμαστε εκτός τοπικού 
δικτύου και θέλουμε να ελέγξουμε πώς προχωράει Eva torrent που είχαμε αφήσει 
να κατεβαίνει, συνδεόµαστε “πρώτα” στον OpenVPN server του pfSense και μετά, 
amo έναν οποιονδήποτε web browser, απλά επισκεπτόµαστε то web panel του 
Transmission. 


Αποθηκεύουμε τις αλλαγές, εγκαταλείπουµε τον editor και στη συνέχεια ανοίγουμε 
ο αρχείο /etc/init/transmission-daemon.conf µε το nano - εννοείται µε δικαιώµατα 
ιαχειριστή: 


On д 


sub0@seedbox:~$ sudo nano /etc/init/transmission-daemon. conf 


Πα την ευκολότερη διαχείριση των αρχείων που κατεβάζουµε, βολεύει у αλλάξου- 
µε το λογαριασμό κάτω από τον οποίο τρέχει o Transmission daemon (στο Ubuntu 
ονομάζεται debian-transmission) σ’ εκείνον του χρήστη µας (sub0). Προς τούτο ap- 
κεί να τροποποιήσουµε κατάλληλατις τιµές των παραμέτρων setuid και setgid, στο 
πάνω μέρος του transmission-daemon.conf. Οι αλλαγμένες παράμετροι για τη δική 
μας εγκατάσταση έχουν WC ακολούθως: 


setuid sub0 
setgid users 


Εσείς βέβαια στη θέση του ѕиро θα βάλετε то username του δικού σας χρήστη, 
ενω για το setgid πιθανότατα θα βάλετε то буора του group µε буора ίδιο μ' εκείνο 
του χρήστη σας. Av, δηλαδή, το username του χρήστης σας είναι Imtgm (lean, mean, 
torrent-grabbing machine — λέμε τωρα), τότε στο transmission-daemon.conf θαθέλε- 
тє TLC ακόλουθες γραμμές: 
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setuid lmtgm 
setgid lmtgm 


(To ότι εμείς βάλαμε "ѕеїдіа users” κι όχι " setgid subO", Exel va κάνει µε την ευθυγράμ- 
шоп των groups μεταξύ του KVM VM µε Ubuntu και tou physical host µε openSUSE, 
апо то οποίο µέσω NFS μοιράζεται ένας κατάλογος εντός του οποίου αποθηκεύει 
το Transmission. Δεν είναι κάτι που πρέπει va σας απασχολεί, απλά TO αναφέρουμε.) 
Πα άλλη µια φορά αποθηκεύουµετις αλλαγές κι εγκαταλείπουµε τον editor. 


Πριν ξεκινήσουμε τον Transmission daemon, από τη στιγµήπου αλλάξαμετολογαρια- 
оно κάτω από tov οποίο τρέχει οφείλουμε τώρα να αλλάξουμε και το ιδιοκτησιακό 
καθεστώς των καταλόγων /etc/transmission-daemon, /var/lib/transmission-daemon/ 
info καθώς κι όλων των περιεχομένων τους. Αν δεν το κάνουμε, το Transmission 
απλά δεν θα ξεκινήσει: 


sub0@seedbox:~$ sudo chown -R sub0:users /etc/transmission-daemon 
sub0@seedbox:~$ sudo chown -R sub0:users /var/lib/transmission-daemon/info 


Περιττό va σημειώσουμε OTL θα δώσετε τα ονόματα χρήστη και group που ισχύουν 
για τη δική σας εγκατάσταση. Η ενεργοποίηση του Transmission daemon επιτυγχά- 
νεται πληκτρολογώντας 


sub0@seedbox:~$ sudo service transmission-daemon start 
Ένας τρόπος προκειµένου να βεβαιωθούμε OTL τρέχει, είναι va γράψουμε 
sub0@seedbox:~$ sudo netstat -4antp 


Αν όλα έχουν πάει καλά, στην ἐξοδο Tou netstat θα υπάρχει µία γραμμή που υποδη- 
λώνει OTL το Transmission αφουγκράζεται για αιτήσεις πελατών апо TO port 9091/ 
ΤΟΡ. 


Χρήση του Transmission 


Από έναν οποιονδήποτε υπολογιστή του τοπικού µας δικτύου κι απὀ έναν οποιονδή- 
ποτε browser, στο web panel tou Transmission φτάνουμε µε επίσκεψη σε διεύθυνση 
της µορφής http://IP. address:9091, órtou IP. address είναι η εσωτερική διεύθυνση IP 
του VM/box σε ρόλο Seedbox. Με κλικ στο σχετικό εικονίδιο ανεβάζουµε Eva ἡ πε- 
ρισσότερα torrents και μπορούμε, φυσικά, να παρακολουθούμε την πρόοδο ενεργών 
downloads, να ξεκινάμε νέα, va παγώνουµε και να συνεχίζουμε άλλακ.ο.κ. Γενικά, TO 
web panel tou Transmission εἶναι απλό αλλά δεν τσιγκουνεύεται τις πληροφορίες 
που δίνει, οὐτε περιορίζει τον χρήστη του. 
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Ένας τρόπος για να λαμβάνουμε τα αρχεία ἡ τους φακέλους που έχουν ήδη Ka- 
τέβει στο Seedbox µας, εἶναι μέσω του πρωτοκόλλου SFTP (FTP over SSH). To 
FileZilla (https://filezilla-project.org) είναι ενας δωρεάν FTP client για Linux, OS X και 
Windows. Αποτελεί Ελεύθερο Λογισμικό και υποστηρίζει, μεταξύ άλλων, συνδέσεις 
SFTP. Υπάρχουν βέβαια πολλές εναλλακτικές λύσεις και μέθοδοι για τη λήψη ή/και 
για τη διαχείριση των αρχείων του Seedbox µας, όμως στο παρόν άρθρο άλλα µας 
απασχολούν. 


ee Jo Connecting... х\+ 


(€) Geedbox:2091 ) X | О, Search wis + а © п = 


Authentication Required 
40 А username and password аге being requested ру 


http://seedbox:9091. The site says: "Transmission" 


UserName: transmission 
Password: | ΠΩ 


ΓΕ Remember this password with LastPass.com 


Cancel ec 


Па τη σύνδεση oto web panel του Transmission αρκεί va επισκεφτούµε µια διεύθυνση της µορφής 

http://IP. address:9091, όπου το IP address είναιη εσωτερική διεύθυνση IP που έχει πάρει το Seedbox από τον 
router. Στο παράδειγµα, αντί για τη διεύθυνση έχουµε απλά πληκτρολογήσει "seedbox" - Κι αυτό χάρη στον name 
server Tou router µας. Την πρώτη φορά εξάλλου που συνδεόµαστε στο web panel του Transmission, µας ζητούνται 
username kat password. 


өөө / Transmission Web Interface ac 


( € ) @ seedbox:9091/transmission/web/ e О, Search ў | & * Ф e Ba = 
EO) e uu) @ i ә 
Show All B | All (Filter 0 Transfers vOKkB/s “0 kB/s 


Empty Spaces! 


Σε µια πρώτη ματιά, το web panel tou Transmission ἰσως δείχνει ανησυχητικά άδειο. Είναι πράγματι λιτό, όπως 
όµως θα διαπιστώσετε την κάνει τη δουλειά του - και μάλιστα µε το παραπάνω. 
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999 / B Transmission Web Interface х G 


(€ ё seedbox:9091/transmission/web/ e О, Search w & * * e με] 


ο μμ) e ШШ 
ἘΝ Вл Bete — 0 Transfers 


wOkB/s ^0 kB/s 


Upload Torrent Files 


Please select a torrent file to upload: 
Browse... journey to the center of the earth 1959 


a URL: 


Destination folder (574.8 СВ Free): 
[home/subO/exported/Downloads 


Start when added 


Cancel Upload 


CDCA) Cw) CE) 


Me κλικ ото σχετικό εικονίδιο (1) εµφανίζεται ένα παραθυράκι επιλογής αρχείων (2), από το οποίο επιλέγουμε 
ένα torrent από τον τοπικό δίσκο προκειµένου να το στείλουμε στο Transmission (3). 


999 / B Transmission Web Interface х G 


(e ) & seedbox:9091/transmission/web/#upload e О, Search w & + * e a = 
IW NE ШШ ә 
Show ΑἹ — Bi Al [ο Fiter 1 Transfer м 462 kB/s ^2kB/s 


Downloading from 5 of 6 peers - | 462 kB/s Т 2 kB/s 
_—- 


301.7 MB of 2.09 GB (14.4%) - 54 minutes remaining 


Download in progress 


Се CF) C=) ED) 


To Torrent που aveBdoaye κατεβαίνει ήδη και στο απλό web panel тоо Transmission υπάρχει τώρα περισσότερη 
δράση. 
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9 € € Г transmissionwebintertace x \ + 


( € ) & | seedbox:9091/transmission/web/#upload е | Q Search * з ће по = 
FQ ui e uu —6 
Show Al | Al frer Transfer 461 KB/s ^6 kB/s 
Journey to the Center of the Earth (1959) [1080p] 
Downloading from 6 of 6 peers - 1 461 kB/s 1 6 kB/s " і 
A ај ЫЫП Journey to the Center of the Earth (1959) [1080р] 
Activity 
Have: 314.6 MB of 2.09 GB (15.1%), 3.08 MB Unverified 
Availability: 100% 
Uploaded: 14.5 MB (Ratio: 0.04) 
Downloaded: 317.7 MB 
State: Downloading 
Running Time: 10 minutes 
Remaining Time: 56 minutes 
Last Activity: None 
Error: None 
Details 
Size: 2.09 GB (1,000 pieces @ 2.00 MiB) 
Location: /home/sub0/exported/Downloads 
Hash: 36667c84ac705f536afc4a7646618d50e04c52bc 
Privacy: Public torrent. 
Origin: Created by mktorrent 1.0 on Thu Apr 16 2015 
Comment: Torrent downloaded from torrent cache at http://torcache.net/ 


Сз C4) Co) CR) 


Και шас και μιλήσαμε για δράση, επιλέγοντας ένα ενεργό torrent μπορούμε va βλέπουμε ένα πλήθος 
πληροφοριών που то αφορούν, όπως, T.X., το χρόνο που απομένει για την ολοκλήρωση του download, τη λίστα µε 
τους peers к.о.к. To Seedbox µας είναι πλέον ετοιμοπόλεμο, ωστόσο έχουµε δύο σημαντικές εκκρεμότητες που 
αφορούν στην προστασία της ιδιωτικότητας και της ανωνυμίας. 


Ενεργοποίηση VPN tunnel, µε server του TorGuard 


Θέλουμε to Seedbox µας va βγαίνει ото Internet µέσω ενός OpenVPN server тоо 
TorGuard (BA. άρθρο σελ. 14). Па τη συνέχεια υποθέτουμε OTL έχουμε λογαριασμό 
στο TorGuard και συγκεκριµένα ενεργή συνδρομή yta tnv υπηρεσία Anonymous VPN. 
Από τη γραμμή εντολών του Seedbox µας, κατεβάζουµε το πακέτο του TorGuard µε 
τα αρχεία ρυθµίσεων για συνδέσεις UDP προς τους servers της εταιρείας. (Μιας κι 
апо το Seedbox κατεβάζουµε torrents και µας ενδιαφέρει η ταχύτητα, προτιμάμε va 
συνδεόµαστε σε OpenVPN servers µέσω UDP κι όχι µέσω ТСР) 


sub0@seedbox:~$ wget https://torguard.net/downloads/OpenVPN-UDP.zip 


Παίρνουμε το αρχείο OpenVPN-UDP zip, to οποίο κι αποσυμπιέζουμε: 


sub0@seedbox:~$ unzip OpenVPN-UDP.zip 


Προκύπτει o κατάλογος "OpenVPN -UDP" κι αυτό το κενό от' όνομα μάς κάνει v' ava- 
ρωτιόμαστε τι σκεφτόταν ο υπάλληλος της TorGuard, την ηµέρα που έφτιαξε το 
αρχείο OpenVPN-UDP zip. Δεν εἰναι απαραίτητο να απαλείψουµε το κενό, αν όµως 
*ogv* το κάνουμε θα συνεχίσουμε µε άγχος, ανησυχία κι ενοχές. Δεν ξέρουμε για 
εσάς, σ εμάς όµως δεν αρέσει οὐτε το άγχος, οὐτε η ανησυχία, ούτε οι ενοχές: 
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sub0@seedbox:~$ mv "OpenVPN -UDP" OpenVPN-UDP 


Τα αρχεία εντός του καταλόγου OpenVPN-UDP εἰναι εκτελέσιμα, χωρίς να υπάρχει 
λόγος. Αλλάζουµε τα δικαιώματά τους WOTE ο ιδιοκτήτης να έχει δικαιώµατα ανά- 
γνωσης κι εγγραφής, ενώ όλοι οι άλλοι δικαίωµα ανάγνωσης: 


sub0@seedbox:~$ chmod 644 OpenVPN-UDP/* 


Στο σηµείο αυτό εγκαθιστούµε στο Ubuntu µας το OpenVPN, το οποίο λειτουργεί 
είτε ως server site ως client: 


sub0@seedbox:~$ sudo apt-get install openvpn 


Μεταφέρουµε ολόκληρο τον κατάλογο OpenVPN-UDP εντός του /etc/openvpn και 
μεταβαίνουμε στον προαναφερθέντα: 


sub0@seedbox:~$ sudo mv OpenVPN-UDP /etc/openvpn/TorGuard-UDP 
sub0@seedbox:~$ cd /etc/openvpn 


Όπως βλέπετε, καθώς µετακινήσαµε τον κατάλογο OpenVPN-UDP στη νέα του 
θέση, tov μετονομάσαμε κιόλας. Μέσα στον TorGuard-UDP υπάρχει το αρχείο ca.crt, 
που εἰναι το δημόσιο πιστοποιητικό της Αρχής Πιστοποίησης του TorGuard. Το ou- 
γκεκριμένο αρχείο το αντιγράφουµε στον κατάλογο /etc/openvpn: 


sub0@seedbox: /etc/openvpn$ sudo cp TorGuard-UDP/ca.crt . 


Αν ρίξουμε ша ματιά µέσα στον κατάλογο TorGuard-UDP, είναι εύκολο va καταλά- 
βουµε σε ποιους servers αντιστοιχεί καθένα апо τα αρχεία ρύθμισης του TorGuard: 


sub0@seedbox: /etc/openvpn$ 15 TorGuard-UDP 


ca.crt TorGuard. Indonesia.ovpn TorGuard.South.Korea.ovpn 
TorGuard.Australia.Melbourne.ovpn TorGuard.Ireland.ovpn TorGuard.Spain.ovpn 
TorGuard.Australia.Sydney.ovpn TorGuard.Italy.ovpn TorGuard.Sweden.Stockholm.ovpn 


orGuard.Belgium.ovpn orGuard. Japan.ovpn orGuard.Swiss.ovpn 


orGuard.Brazil.ovpn orGuard.Latvia.ovpn orGuard.Thailand.ovpn 


TorGuard. Canada. Calgary .ovpn TorGuard.Luxembourg.ovpn TorGuard.Tunisia.ovpn 
TorGuard.Canada.Toronto.ovpn TorGuard.Malaysia.ovpn TorGuard. Turkey .ovpn 
TorGuard. Canada . Vancouver . ovpn TorGuard.Mexico.ovpn TorGuard.UK.Hampshire.ovpn 
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TorGuard.Costa Rica.ovpn TorGuard.Moldova.ovpn TorGuard.UK.London.ovpn 
TorGuard.Czech.ovpn TorGuard.Nether lands . ovpn TorGuard.USA-ARIZONA. ovpn 
TorGuard.Denmark.ovpn TorGuard.New.Zealand.ovpn TorGuard.USA-ATLANTA. ovpn 
TorGuard.Egypt . ovpn TorGuard.Norway.ovpn TorGuard.USA-CHICAGO.ovpn 
TorGuard.Finland.ovpn TorGuard.Panama.ovpn TorGuard.USA-DALLAS . ovpn 
TorGuard.France.ovpn TorGuard.Poland.ovpn TorGuard.USA-LA.ovpn 
TorGuard.Germany.Frankfurt.ovpn TorGuard.Portugal.ovpn TorGuard.USA-LAS-VEGAS . ovpn 
Тогбиага. Germany . Munich . ovpn TorGuard.Romania.ovpn TorGuard.USA-MIAMI.ovpn 
TorGuard.Greece.ovpn TorGuard.Russia.Moscow.ovpn TorGuard.USA-NEW- JERSEY . ovpn 
TorGuard.Hong.Kong.ovpn TorGuard.Russia.St.Petersburg.ovpn TorGuard.USA-NEW-YORK.ovpn 
TorGuard.Hungary.ovpn TorGuard.Saudi.Arabia.ovpn TorGuard.USA-SEATTLE.ovpn 
TorGuard.Iceland.ovpn TorGuard.Singapore.ovpn TorGuard.Vietnam.ovpn 
TorGuard. India.ovpn TorGuard. South. Africa.ovpn 


Πα тїс ανάγκες της παρουσίασής µας, ας φροντίσουμε ώστε ro Seedbox va βγαίνει 
στο Internet µέσω tou server στην Ελβετία. Το αρχείο που θέλουμε, λοιπόν, εἰναι 
το TorGuard.Swiss.ovpn. Τώρα, προκειµένου ν' αλλάζουμε εύκολα OpenVPN server 
κάθε φορά που το επιθυμούμε, αλλά και για λόγους καλής διαχείρισης, αφήνουμε то 
αρχείο TorGuard.Swiss.ovpn µέσα στον κατάλογο /etc/openvpn/TorGuard-UDP κι arto 
τον /etc/openvpn φτιάχνουμε éva symbolic link прос αυτό: 


sub0@seedbox: /etc/openvpn$ sudo ln -s TorGuard-UDP/TorGuard.Swiss.ovpn 
VPNserver.conf 


Σημειώστε ότι σκόπιμα δώσαμε στο αρχείο VPNserver την κατάληξη "conf". Έτσι, pó- 
ALG η τοπική υπηρεσία του OpenVPN ενεργοποιηθεί θα το διαβάσει αυτόματα. Πριν 
τη σύνδεσή µας ανοίγουμε το αρχείο VPNserver.conf µε το nano - και φυσικά µε 
δικαιώµατα διαχειριστή: 


sub0@seedbox: /etc/openvpn$ nano VPNserver.conf 


Τη γραμμή 'auth-user-pass'" την αλλάζουμε σε "auth-user-pass credentials.txt" (χωρίς 
τα εισαγωγικά). Αποθηκεύουμε την αλλαγή (µε [CTRL+O], [Enter]) κι εγκαταλείπουμε 
το nano (µε [CTRL+X]). Φτιάχνουμε στη συνέχεια το αρχείο credentials.txt: 


sub0@seedbox: /etc/openvpn$ sudo nano credentials.txt 
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Το περιεχόμενό του πρέπει ν' αποτελείται από δύο γραμμές μόνο, отоо η πρώτη 
έχει το username και η δεύτερη το password μας ото TorGuard. Αφού αποθηκεύσου- 
µε το αρχείο και βγούμε από το nano, φροντίζουμε ώστε δικαίωµα ανάγνωσης και 
εγγραφής στο credentials.txt να έχει μόνον ο χρήστης root: 


sub0@seedbox: /etc/openvpn$ sudo chown 600 credentials.txt 


Είμαστε πλέον έτοιμοι να συνδεθούµε στον OpenVPN server tou TorGuard, στην Eà- 
βετία. Πρώτα όμως ας σημειώσουμε το δημόσιο IP που έχει to Seedbox µας, καθώς 
και τον name server που χρησιμοποιεί. Πα το δημόσιο IP, γράφουμε: 


sub0@seedbox: /etc/openvpn$ curl icanhazip.com 
δη 208 XX 


Πα tov name server, πληκτρολογούμε κάτι σαν 


sub0@seedbox: /etc/openvpn$ dig deltahacker.gr 

; <<>> DiG 9.9.5-3ubuntu0.7-Ubuntu <<>> deltahacker.gr 
;; global options: +cmd 

;; Got answer: 


;; Query time: 75 msec 

+; SERVER: 192.168.10.254#53(192.168.10.254) 
;; WHEN: Sun Feb 21 14:39:58 EET 2016 

+; MSG SIZE rcvd: 59 


Στην τρίτη γραμμή апо το τέλος, βλέπουμε ὁτι ο Name server είναι о 192168 10.254. 
Πρόκειται για τον router μπροστά апо το Seedbox. Ας συνδεθούµε τώρα στον 
OpenVPN server tou TorGuard: 


sub0@seedbox: /etc/openvpn$ sudo service openvpn start 
* Starting virtual private network daemon(s)... 
*  Autostarting VPN 'VPNserver' 


Αν όλα έχουν πάει καλά, τότε στην έξοδο του ifconfig πρέπει να δούµε και το tunO 
interface. Δείτε: 


sub0@seedbox: /etc/openvpn$ ifconfig 


etho Link encap:Ethernet HWaddr 52:54:00:e7:de:78 
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inet addr:192.168.10.225 Bcast:192.168.10.255 Mask:255.255.255.0 
inet6 addr: fe80::5054:ff:fee7:de78/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:7440054 errors:0 dropped:0 overruns:0 frame:0 

TX packets :5923232 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 

RX bytes:17597153786 (17.5 GB) TX bytes:5273568359 (5.2 GB) 


ипо Link encap:UNSPEC Нмаадаг 00-00-00-00-00-00-00-00-00-00-00-00-00-00- 
00-00 


inet addr:10.9.0.10 P-t-P:10.9.0.9 Mask:255.255.255.255 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 
RX packets:21 errors:0 dropped:0 overruns:0 frame:0 

TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 100 

RX bytes:2976 (2.9 KB) TX bytes:3217 (3.2 KB) 


Όλα μοιάζουν τέλεια. Ας ελέγξουμε αν το δημόσιο IP µας έχει αλλάξει: 


sub0@seedbox: /etc/openvpn$ curl icanhazip.com 
179.43.188.214 


Kat ναι, έχει αλλάξει! Αν όµως δώσουμε ξανά "dig deltahacker.gr' (χωρίς та εισαγωγι- 
ка), θα διαπιστώσουμε ότι συνεχίζουμε να χρησιμοποιούμε τον ἰδιο name server. To 
γεγονός επαληθεύεται ρίχνοντας και µια µατιά στο αρχείο /etc/resolv.conf: 


sub0@seedbox: /etc/openvpn$ cat /etc/resolv.conf 

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 192.168.10.254 

search colder.xyz 


Παρά λοιπόν την επιτυχημένη σύνδεσή µας στον TorGuard server, αναλόγως των 
name servers που χρησιμοποιεί o router µας, o ISP είναι πιθανό να βλέπει ποια sites 
επισκεπτόµαστε ή ποιες ιντερνετικές υπηρεσίες χρησιμοποιούμε. Προκειμένου v' 
αποφύγουμε τα δυνητικά ΡΝΡΙΕαΚς,θέλουµε ο πρώτος name server tou συστήματος 
να εἰναι o 10.9.0.1: αυτή εἰναι η διεύθυνση IP του απομακρυσμένου TorGuard server 
για to tunO interface. То αρχείο /etc/resolv.conf δεν έχει νόημα va то τροποποιήσουμε 
χειροκίνητα, διότι επαναδηµιουργείται αυτόματα κατά την εκκίνηση του λειτουργι- 
KOU. Μπορούμε όµως να αλλάξουμε τον τρόπο δημιουργίας του... 
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root@seedbox: /etc/openvpn# echo "nameserver 10.9.0.1" >> /etc/resolvconf/ 
resolv.conf.d/head 


«και να επανεκκινήσουµε την υπηρεσία ονόματι resolvconf: 
sub0@seedbox: /etc/openvpn$ sudo service resolvconf restart 
Πλέον, το περιεχόµενο του /etc/resolv.conf θα έχει αλλάξει... 


sub0@seedbox: /etc/openvpn$ cat /etc/resolv.conf 

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 10.9.0.1 

nameserver 192.168.10.254 

search colder.xyz 


..KLO name server που θα απαντά ота DNS queries 6a ΄ναι o 10.9.0.1: 


sub0@seedbox: /etc/openvpn$ dig deltahacker.gr 

; ««»» DiG 9.9.5-3ubuntu0.7-Ubuntu ««»» deltahacker.gr 
;; global options: *cmd 

;; Got answer: 


;; Query time: 148 msec 

;; SERVER: 10.9.0.1#53(10.9.0.1) 

;; WHEN: Sun Feb 21 15:17:57 EET 2016 
;; MSG SIZE rcvd: 150 
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Λογικά, στο σηµείο αυτό όλα θα πρέπει να δουλεύουν όπως ακριβώς θέλουμε. Žu- 
γκεκριμένα, κατά την εκκίνηση του λειτουργικού συνδεόµαστε στον OpenVPN server 
tou TorGuard στην Ελβετία, η διαδικτυακή µας κίνηση δρομολογείται µέσω tou ATO- 
μακρυσμένου server, βγαίνουµε στο Internet όχι µε TO δημόσιο IP που µας έχει δώσει 
o ISP, είμαστε ασφαλείας κι ως προς τα DNS leaks. Επειδή κάναμε πολλή δουλειά 
και πειράξαµε éva σωρό πράγματα, ίσως εἰναι καλή ιδέα va επανεκκικήσουµε TO 
Seedbox µας... 


sub0@seedbox: /etc/openvpn$ sudo reboot 


кі αφού ξεκινήσει και συνδεθούµε και πάλι, να κάνουμε µια-δυο δοκιμές για to 
δημόσιο IP µας και τον χρησιμοποιούμενο name server. 


Κατέβασμα µόνο µέσω ΝΡΝ 


Πα οποιονδήποτε λόγο, η σύνδεσή µας προς τον TorGuard server είναι πιθανό va πέ- 
σει. Αν εκείνη τη στιγµή κατεβάζουµε µε то Transmission, το downloading θα otapa- 
τήσει γιαλίγο αλλά λίγα δευτερόλεπτα αργότερα θα συνεχίσει апо το ethO interface, 
άρα µέσω του ISP µας. Ξαφνικά, λοιπόν, η δραστηριότητά µας γίνεται φανερή - 
εκτός βέβαια κι αν έχουµε λάβει τα µέτρα µας. 


Αν υπήρχε τρόπος WOTE να λέγαμε ото Transmission κάτι στο στιλ "κατέβαζε µόνο 
μέσω του τάδε network interface", θα tou υποδεικνύαµε το tunO και δεν θα είχαμε 
κανένα πρόβλημα: όσο το tunO ήταν up θα εἰχαμε δυνατότητα για downloading, ενώ 
αν γινόταν down απλά δεν θα μπορούσαμε va κατεβάζουµε. Το θέµα εἰναι ότι το 
Transmission δεν εἰναι δυνατόν να δεχτεί τέτοια οδηγία. Ευτυχώς όµως που υπάρχει 
το iptables. Ρίχνοντας µια ματιά στις προκαθορισμένες πολιτικές του Ubuntu Server 
γιατις αλυσίδες INPUT, FORWARD και OUTPUT, παρατηρούμε ὁτι δεν υπάρχει kavé- 
νας περιορισμός για καμία τους: 


sub0@seedbox:~$ sudo iptables -S 
-P INPUT ACCEPT 

-P FORWARD ACCEPT 

-P OUTPUT ACCEPT 


To Seedbox µας βρίσκεται πίσω апо το firewall του router, δεν έχουμε κάποιον κανόνα 
port forwarding WOTE va φτάνουμε στο VM από tov έξω κόσμο, επομένως δεν υπάρ- 
χει λόγος у ασχοληθούμε µε την αλυσίδα INPUT. Ούτε µε την αλυσίδα FORWARD 
έχουμε λόγο у ασχοληθούμε, αφού то VM δεν λειτουργεί ως router. Μας μένει λοι- 
тоу η αλυσίδα OUTPUT - και μ' αυτή "έχει νόημα у ασχοληθούμε. Αναλυτικότερα, 
τα εξερχόµενα πακέτα που προορίζονται για το τοπικὀ δίκτυο θα τα αφήνουμε va 
περνούν, αλλά σε ооа προορίζονται για το Internet θα τους επιτρέπουµε την έξοδο 
*uóvov* όταν διέρχονται µέσα από το tunO interface. Έτσι, όταν η σύνδεση προς tov 
TorGuard server πέφτει, το Seedbox µας θα µπορεί να επικοινωνεί µόνο µε άλλα µη- 
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χανήµατα ή VMs tou τοπικού δικτύου. O ISP µας θα εξακολουθεί να εἶναι στα σκοτά- 
δια ως προς τις δραστηριότητές µας, ενώ εμείς θα μπορούμε να κάνουμε Eva SSH 
login στο VM για να ξεκινήσουμε, lowe, µια νέα σύνδεση VPN, ενδεχομένως προς 
άλλον TorGuard server. 


Έχουμε ετοιμάσει EVA εξαιρετικά ATIAO σκριπτ, το οποίο θέτει τους προαναφερθέ- 
VTEC κανόνες για τα εξερχόµενα πακέτα. Κατεβάστε το πληκτρολογώντας: 


sub0@seedbox:~$ wget -0 iptables-ruleset.sh http://bit.ly/iptrs 
Δείτε λίγο τα περιεχόμενά tou: 


sub0@seedbox:~$ cat iptables-ruleset.sh 

#!/bin/bash 

iptables -F 

iptables -A OUTPUT --out-interface lo -j ACCEPT 

iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT --out-interface eth0 --destination 192.168.0.0/16 -j ACCEPT 
iptables -A OUTPUT --out-interface tun0 -j ACCEPT 

iptables -A OUTPUT -j DROP 


Όπως παρατηρείτε, επιτρέπουµε την έξοδο στα πακέτα που προορίζονται προς то 
loopback interface, o' εκείνα των ήδη εγκαθιδρυµένων συνδέσεων, καθώς και στα 
πακέτα τα οποία, µέσω tou ethO, προορίζονται για άλλα μηχανήματα του τοπικού 
δικτύου. Επιτρέπουµε επίσης τα πακέτα που βγαίνουν έξω µέσω του tunO interface, 
δηλαδή εκείνα που εξέρχονται µέσω του κρυπτογραφημένου τούνελ. Τέλος, µπλο- 
κάρουµε όλα τα άλλα εξερχόµενα πακέτα. 


Το αρχείο iptables-ruleset.sh το κάνουμε εκτελέσιμο... 


sub0@seedbox:~$ chmod 755 iptables-ruleset.sh 


каї to μεταφέρουμε σε évav ωραιότατο κατάλογο, ονόματι bin, µέσα στον προσω- 
πικό κατάλογο του χρήστη µας: 


sub0@seedbox:~$ mkdir bin 
sub0@seedbox:~$ mv iptables-ruleset.sh -/bin/ 


Ας το εκτελέσουµε τώρα... 


sub0@seedbox:~$ sudo ~/bin/iptables-ruleset.sh 
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..Kt ας παρατηρήσουμε τους νέους κανόνες που ισχύουν: 


sub0@seedbox:~$ sudo iptables -S 

-P INPUT ACCEPT 

-P FORWARD ACCEPT 

-P OUTPUT ACCEPT 

-A OUTPUT -o lo -j ACCEPT 

-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -d 192.168.0.0/16 -o еїһ0 -j ACCEPT 

-A OUTPUT -o tunO -j ACCEPT 

-A OUTPUT -j DROP 


Με оті ισχύει, από Eva οποιοδήποτε µηχάνηµα του τοπικού δικτύου θα φτάνουμε 
στο Seedbox - και το αντίστροφο. Με την προὐπόθεση OTL έχουµε ενεργή σύνδεση 
σε TorGuard server, апо to Seedbox θα βγαίνουμε στο Internet μέσω tunO — αλλά όχι 
μέσω ethO. Τερματίζοντας μόνοι µας τη σύνδεση VPN, T.X., πληκτρολογώντας 


sub0@seedbox:~$ sudo service openvpn stop 
* Stopping virtual private network daemon(s)... 
* Stopping VPN 'VPNserver' 


θα διαπιστώσουμε ότι η επικοινωνία του Seedbox µε όλες τις άλλες SLKTUWHEVEC 
συσκευές του τοπικού δικτύου θα συνεχίσει να εἶναι δυνατή. Καταφεύγοντας όµως 
σε εργαλεία όπως το ping rj το mtr, θα διαπιστώσουμε ότι η πρόσβαση στο Internet 
εμποδίζεται. Την ίδια διαπίστωση θα κάνουμε av προσπαθήσουμε va κατεβάσουµε 
κάτι µε το Transmission. 


Προκειμένου va ενεργοποιήσουµε και πάλι µια σύνδεση VPN, οφείλουμε πρώτα να 
αδειάσουµε όλους τους κανόνες του iptables: 


sub0@seedbox:~$ sudo iptables -F 
sub0@seedbox:~$ sudo iptables -S 
-P INPUT ACCEPT 

-P FORWARD ACCEPT 

-P OUTPUT ACCEPT 


Στη συνέχεια εγκαθιδρύουµε σύνδεση προς κάποιον TorGuard server... 
sub0@seedbox:~$ sudo service openvpn start 


* Starting virtual private network daemon(s)... 
*  Autostarting VPN 'VPNserver' 
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кає φορτώνουμε ξανά ro ruleset: 


sub0@seedbox:~$ sudo ~/bin/iptables-ruleset.sh 

sub0@seedbox:~$ sudo iptables -S 

-P INPUT ACCEPT 

-P FORWARD ACCEPT 

-P QUTPUT ACCEPT 

-A OUTPUT -o lo -j ACCEPT 

-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -d 192.168.0.0/16 -o ethO -j ACCEPT 

-A OUTPUT -o tunO -j ACCEPT 

-A OUTPUT -j DROP 


Οι κανόνες εἰναι βολικό να ενεργοποιούνται κατά την εκκίνηση του λειτουργικού 
συστήµατος. Ένας τρόπος για va TO πετύχουμε, εἶναι µε την εισαγωγή µιας απλής 
γραμμής στο αρχείο /etc/rc.local. Δείτε το δικό µας: 


sub0@seedbox:~$ cat /etc/rc.local 


#!/bin/sh -e 

# 

# rc.local 

# 

# This script is executed at the end of each multiuser runlevel. 
# Make sure that the script will "exit 0" on success or any other 
# value on error. 

* 

# In order to enable or disable this script just change the execution 
# bits. 

* 

# By default this script does nothing. 


/home/sub0/bin/iptables-ruleset.sh 
exit 0 


H γραμμή που εισαγάγαµε είναι η τονισµένη. Αν και δεν εἰναι απαραίτητο, προτεί- 


νουµε να επανεκκινήσετε το λειτουργικό και κατόπιν να κάνετε μερικούς ελέγχους, 
WOTE να διαπιστώσετε αν ὀλαλειτουργούν ката τα προβλεπόμενα 
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κ cvar — subOGseedbox: ~ — ssh seedbox — 115x40 — #1 
[subOgseedbox: -$ 
[subOGseedbox:-$ sudo service openvpn status ea 

* VPN 'VPNserver' is running 

sub0@seedbox:~$ curl icanhazip.com @ 

179.43.173.82 

sub0@seedbox:~$ ping -c 3 google.com 68) 

PING google.com (62.75.23.123) 56(84) bytes of data. 

64 bytes from 62.75.23.123: icmp seq-1 ttl-56 time-126 ms 


64 bytes from 62.75.23.123: icmp seq-2 ttl-56 time-126 ms 
64 bytes from 62.75.23.123: icmp seq-3 ttl-56 time-126 ms 


--- google.com ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2002ms 
rtt min/avg/max/mdev = 126.248/126.567/126.728/0.468 ms 
sub0@seedbox: ~$ 
[subOQGseedbox:-$ sudo service openvpn stop @ 

* Stopping virtual private network daemon(s)... 

* Stopping VPN 'VPNserver' 
[subOGseedbox:-$ curl icanhazip.com 65) 

^C 
sub0@seedbox:~$ ping -c 3 google.com 
PING google.com (62.75.23.123) 56(84) bytes of data. 
ping: sendmsg: Operation not permitted 
ping: sendmsg: Operation not permitted (в) 
: sendmsg: Operation not permitted 


--- google.com ping statistics --- 
3 packets transmitted, 60 received, 100% packet loss, time 2015ms 


sub0@seedbox:~$ ping -c 3 thehost e 
PING thehost.colder.xyz (192.168.10.245) 56(84) bytes of data. 


64 bytes from thehost.colder.xyz (192.168.10.245): icmp ѕед=1 ttl-64 time-0.170 ms 
64 bytes from thehost.colder.xyz (192.168.10.245): icmp seq-2 ttl-64 time-0.189 ms 
64 bytes from thehost.colder.xyz (192.168.10.245): icmp seq-3 ttl=64 time-0.175 ms 


--- thehost.colder.xyz ping statistics --- 

3 packets transmitted, 3 received, @% packet loss, time 2000ms 
rtt min/avg/max/mdev - 0.170/0.178/0.189/0.008 ms 
sub0@seedbox:~$ 


Με τη σύνδεση VPN σε TorGuard server ενεργή (1), απὀ τη γραμμή εντολών rou Seedbox µας ελέγχουμε το 
δημόσιο IP ue το οποίο βγαίνουµε στο Internet (2). Н επικοινωνία µας εξάλλου µε τον έξω κόσµο, γίνεται 
ανεμπόδιστα (3). Στη συνέχεια τερµατίζουµε τη σύνδεση VPN (4) κι αµέσως παρατηρούμε ότι τώρα δεν μπορούμε 
να μάθουμε το δημόσιο IP µας, п.х., апо το icanhazip.com (5). Ούτε το ping προς το Google δουλεύει (6) μπορούμε 
όµως να φτάνουμε σε άλλα μηχανήματα του τοπικού µας δικτύου (7). Όλα αυτά οφείλονται στους απλούς κανόνες 
του iptables που έχουµε θέσει σε ισχύ: Όσο είµαστε συνδεδεμένοι σε TorGuard server στο Internet βγαίνουμε 
Χωρίς προβλήματα, αν όµως η σύνδεση για οποιονδήποτε λόγο διακοπεί, τότε το Seedbox µας µπορεί va 
επικοινωνεί «μόνον µε άλλα μηχανήματα του τοπικού δικτύου. 
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Υπηρεσίες 
Active Directory, 
χωρίς βοἰϊνε-τσέπη 
[μέρος 2/2] 


Τα θεμέλια του οικοδοµήµατός µας εἶναι στιβαρά. Από μόνα тоос όµως δεν 
προσφέρουν τίποτα χρήσιμο. Σε αυτό το δεύτερο µέρος θα συνεχίσουμε την 
εργασία μέχρι την ολοκλήρωση και της τελευταίας λεπτομέρειας. Μη νοµίσετε 
πάντως OTL θα µπλέξουμε σε δύσκολα μονοπάτια. Θα εξακολουθήσουµε va 
χρησιμοποιούμε μικρά και εύχρηστα εργαλεία. 


του Πέτρου Κυλαδίτη 


Στο τέλος του πρώτου μέρους, που ξεκινά апо τη σελίδα 28, καταφέραμε va στή- 
σουµε τον δικό µας Domain Controller. Θα μπορούσαμε τώρα να ξεκινήσουμε την 
προσπάθεια σύνδεσης των συστημάτων αλλά, όπως συμβαίνει στις περισσότερες 
περιπτώσεις, η βιασύνη δεν αποτελεί καλό σύμβουλο. Πα αρχή, μπορούμε να κάνου- 
µε µια ακόµα επανεκκίνηση και στη συνέχεια να τσεκάρουµε τις ρυθμίσεις και τη 
λειτουργικότητα του Samba server. Па την επανεκκίνηση δεν χρειάζεται να πούμε 
πολλά: 


$ sudo reboot 


Όταν συνδεθούµε ξανά στο σύστημα, μπορούμε va αρχίσουµε τους ελέγχους. Όσοι 
άφησαν ενεργά όλα τα µέτρα ασφαλείας του κωδικού του διαχειριστή, μπορούν να 
τσεκάρουν το χρονικό διάστηµα που απομένει μέχρι τη λήξη του. Πα TO σκοπό AUTO 
χρησιμοποιούμε το Кіпії – éva πρόγραµµα που συνοδεύει την υπηρεσία Kerberos: 


$ kinit administrator@DELTA.LOCAL 


Μόλις то τρέξουµε θα µας ζητηθεί o κωδικός που ορίσαµε για το διαχειριστή και 
μόλις tov εισάγουµε, θα μάθουμε πότε λήγει. Ακολούθως, βλέπουμε av και ποια 
tickets πιστοποίησης έχει εκδώσει το Kerberos. Па αυτή τη δουλειά χρησιμοποιούμε 
το εργαλείο klist: 
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$ klist 


Προφανώς, εφόσον δεν έχουμε συνδέσει ακόµα κανένα σύστημα στο Domain, δεν 
θα έχει εκδοθεί κανένα πιστοποιητικό. Ωστόσο, τρέχοντας αυτά та δύο προγράµ- 
рата κι апо τη στιγµή που δεν εμφανίζονται μηνύματα λάθους, βεβαιωνόμαστε OTL 
το Kerberos λειτουργεί κανονικά. Για την επιβεβαίωση της λειτουργίας του Samba 
server χρησιμοποιούμε το εργαλείο smbclient: 


$ smbclient -L localhost -U% 
$ smbclient //localhost/netlogon -U 'Administrator' -c 'ls' 


Με την εκτέλεση της πρώτης γραμμής εμφανίζονται πληροφορίες үа тоос πόρους 
και μερικές βασικές ρυθμίσεις του Samba server. Με την εκτέλεση της δεύτερης, 
το σύστημα θα ζητήσει να εισάγουµε τον κωδικό του διαχειριστή. Εφόσον το κάνου- 
ug, θα προβάλει όλα ta αρχεία που ανήκουν στο συγκεκριµένο χρήστη και διαμοιρά- 
ζονται апо tov Samba server. Εν ολίγοις, θα εμφανιστεί κάτι που θα μοιάζει µε άδειο 
κατάλογο. Όπως αντιλαμβάνεστε, το σκεπτικό µας παραμένει ἰδιο: Αν δεν εµφανι- 
στεί κάποιο μήνυμα λάθους, ο Samba server λειτουργεί κανονικά και είναι ἑτοιμος 
να αρχίσει το διαµοιρασμό αρχείων. 


Διαμοιρασμός αρχείων 


Στην εισαγωγή του προηγούμενου μέρους, τονίσαµε OTL µια µεγάλη ευκολία του 
Active Directory σχετίζεται µε та roaming profiles, δηλαδή τη δυνατότητα να έχουμε 
τα αρχεία και τις ρυθμίσεις µας σε οποιοδήποτε μηχάνημα του domain κι av καθί- 
coupe. Σε Eva δίκτυο που αξιοποιεί την εν λόγω τεχνολογία, τα αρχεία που σχετί- 
ζονται µε τον λογαριασμό µας δεν είναι υποχρεωτικό να βρίσκονται στον Domain 
controller. Μπορούν κάλλιστα να διατηρούνται σε ξεχωριστό µηχάνηµα, που EKTE- 
λεί χρέη file server. Τις περισσότερες φορές πάντως τα δύο παραπάνω καθήκοντα 
(domain controller και file server) ανατίθενται στο ἰδιο μηχάνημα. Το ίδιο θα κάνου- 
με κι εμείς, εφόσον TOL μπορούμε να εξοικονοµήσουµε ακόµα περισσότερους TÓ- 
ρους. Το γεγονός ότι ο Domain controller τρέχει Ubuntu Server και ot δίσκοι του είναι 
διαμορφωμένοι µε το σύστημα Ext4, δεν πρέπει va σας ανησυχεί. О Samba server 
φροντίζει να μεταφέρει τα αρχεία µας апо και προς τα μηχανήματα που τρέχουν 
Windows, χωρίς το παραμικρό πρόβλημα. Το επόμενο βήμα, λοιπόν, εἶναι η δηµιουρ- 
γία ενός κοινόχρηστου δικτυακού πόρου, στον οποίο θα φυλάσσονται τα αρχεία των 
χρηστών. Εντελώς αυθαίρετα, αποφασίσαμε ὁτι ο σχετικός αποθηκευτικός χώρος 
θα βρίσκεται στη θέση /home/Users: 


$ sudo mkdir /home/Users 

$ sudo chown root:users /home/Users 
$ sudo chmod ugtrwx,o= /home/Users 
$ sudo chmod gts /home/Users 
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Πιστεύουμε ότι η πρώτη εντολή δεν χρειάζεται ιδιαίτερη επεξήγηση. Η δεύτερη 
ορίζει τον ιδιοκτήτη (owner) και την ομάδα χρηστών (user group) που ανήκει o κατά- 
λογος /home/Users. Οὐτε κι εδώ χρειάζεται να πούμε περισσότερα. Н τρίτη εντολή 
όμως εἰναι πιθανό να σας προβληματίσει. Με αυτήν εξασφαλίζουµε ότι o ιδιοκτήτης 
του καταλόγου (и), καθώς και όσοι χρήστες ανήκουν στο ἰδιο group µε tov κατάλογο 
(g), θα έχουν πλήρη πρόσβαση (*rwx). Ταυτόχρονα, οι υπόλοιποι χρήστες (o) δεν θα 
έχουν κανένα δικαίωµα επί του καταλόγου. Н τέταρτη εντολή τροποποιεί πάλι τα 
δικαιώµατα του καταλόγου /home/Users και πετυχαίνει κάτι που ενδέχεται να σας 
ήταν εντελώς άγνωστο. Εδώ ενεργοποιούµε µια ιδιότητα που ονομάζεται setgid, 
апо to set group ID upon execution. Н συγκεκριμένη ιδιότητα έχει άλλη ερμηνεία 
όταν ενεργοποιείται σε απλά αρχεία και διαφορετική όταν ενεργοποιείται σε κατα- 
λόγους. Στη δική µας περίπτωση (εφαρµογή σε κατάλογο) EXEL TO εξής αποτέλεσμα: 
Οποιοδήποτε αρχείο δημιουργείται εντός του συγκεκριμένου καταλόγου, θα ανήκει 
εξ ορισμού στην ομάδα χρηστών (user group) που ανήκει και ο κατάλογος. Με αυτό 
το τελευταίο βήμα, εξασφαλίζουµε OTL κάθε αρχείο που δημιουργεί o Samba server 
μέσα στον κατάλογο /home/Users, θα ανήκει στο group ονόματι users. 


Έχοντας ετοιμάσει τον κατάλογο που θα φιλοξενεί та διαμοιραζόμενα αρχεία, πρέ- 
πει να ενημερώσουμε κατάλληλα τις ρυθμίσεις του Samba server. Έτσι, θα χρησι- 
μοποιήσουμε τον αγαπημένο µας text editor και θα ανοίξουμε το αρχείο /etc/samba/ 
smb.conf: 


$ sudo nano /etc/samba/smb.conf 


Τωραπρέπεινα μεταβούμε στο τέλος του αρχείου καιναπροσθέσουµε uta VEG EVO- 
τητα (section). Όπως υποψιάζεστε, εδώ θα περιγράψουμε τον κοινόχρηστο αποθη- 
κευτικό χώρο που θέλουμε va δημιουργήσουμε: 


[Users] 
read only - no 
path = /home/Users 
csc policy = documents 


Μέσα στις αγκύλες, που ορίζουν και την έναρξη του section, τοποθετούμε το Óvo- 
μα του κοινόχρηστου πόρου. Με το ίδιο όνοµα θα εμφανίζεται αργότερα και στους 
χρήστες του Domain. Εμείς αποφασίσαμε να χρησιμοποιήσουμε το κοινότοπο αλλά 
άκρως кататотиотіко буора Users. Έτσι ο συγκεκριμένος πόρος θα είναι προσβάσι- 
μος από ολόκληρο το τοπικό δίκτυο, στη θέση \\samba\Users\. Μετά апо αυτή την 
προσθήκη, αποθηκεύουμε το αρχείο, κλείνουμε τον editor και πραγματοποιούµε µια 
επανεκκίνηση της υπηρεσίας Samba: 


$ sudo service smbd restart 
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Μπορεί va µην έχετε συνειδητοποιήσει τι πετύχαµε µε τα апла βήματα που είδαμε 
ως τώρα, αλλά εμείς ενθουσιαστήκαµε αρκετά σε αυτή τη φάση. Στο νου µας ήρθαν 
στιγμές σαν αυτές που τελειώναμε µια πίστα του Super Mario και περνούσαμε στην 
επόμενη :D 


Ένταξη στο domain 


Τωρα μπορούμε να ретаВооре στα μηχανήματα που τρέχουν Windows, για va та 
προσθέσουμε στο domain. Εδώ πρέπει να σας θυμίσουμε OTL µόνο οι εκδόσεις 
Professional (και Ultimate στην περίπτωση των Windows 7) μπορούν να ενταχθούν 
σε domain. Ένας τρόπος να εξασφαλίσουµε OTL το εκάστοτε σύστηµα θα δει apé- 
σως τον Domain Controller, είναι va εξασφαλίσουµε ότι χρησιμοποιεί τον δικὀ µας 
Name server. Αυτό επιτυγχάνεται από τις ρυθμίσεις του πρωτοκόλλου TCP/IP. Στα 
Windows 7 για παράδειγµα, πρέπει va ανοἰξουµε то "Κέντρο δικτύου",να πατήσουμε 
ото "Αλλαγή ρυθμίσεων просарроүёа" к: από ket, να κάνουμε διπλό κλικ επάνω στο 
εικονίδιο που αναπαριστά την ενεργή κάρτα δικτύου του υπολογιστή. Στο παράθυρο 
που εμφανίζεται πατάμε το κουμπί "Ιδιότητες" και στο νέο παράθυρο κάνουμε διπλό 
κλικ στο πρωτόκολλο TCP/IP 4. Έτσι εμφανίζεται éva ακόµα παράθυρο, στο οποίο 
ορίζουμε σαν DNS address τη διεύθυνση του Domain controller µας. Στη δική μας πε- 
ρίπτωση δώσαμε το 192.168.1.5. 


[e [58 | ΣΕ | 
GO- » Πίνακας Ελέγχου » Δίκτυο katInternet » Συνδέσεις δικτύου » X | + || Αναζήτηση Συνδέσεις δικτύου οἱ 
Οργά == 
Ιδιότητες: Τοπική σύνδεση bd 


Κατάσταση: Τοπική σύνδεση. Σε 


x 


Εἶναι δυνατὀ va οριστούν aurópara οι ρυθμίσεις πρωτοκόλλου IP, züv 
το Üikruó σας υποστηρίζει αυτήν τη δυνατότητα. Διαφορετικά, πρέπει 
να ζητήσετε anó το διαχειριστή του δικτύου σας τις κατάλληλες 
ρυθμίσεις του ΙΡ. 


© Χρήση της παρακάτω διεύθυνσης IP: 


uvan IP 


Μάσκα unodik mou: 


ροεπιλεγμένη πύλη: 


© Αυτόματη απόδοση διεύθυνσης διακομιστή DNS 
© Χρήση των παρακάτω διευθύνσεων διακομιστή DNS: 
Προτιμώμενος διακομιππήςὈῦν5: 192.168. 1 . 6 


d Me . που παρέχει επικοινωνία 
Εφεδρικός διακομιστής DNS: А R : πο. 


/κατάστασης 


Επικύρωση των ρυθµίσεων ката την ἐξοδο 


Па προχωρημένους... 


Ск) (а ) 


ΕΝ Ας πώ 


ч) A o | [p 4:29 μμ 
€ ΕΕ : 11/2/2016 
Για τον ευκολότερο εντοπισμό του Domain controller από το σύστημα, πρέπει να αλλάξουμε τη διεύθυνση του DNS. 
Για την ακρίβεια, πρέπει να δώσουμε τη διεύθυνση ІР που έχει ο δικός µας server. 
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Προφανώς, eróuevo βήμα είναι η ένταξη του μηχανήματος στο domain. Αυτό µπορεί 
να γίνει апо την ενότητα "Σύστημα" του πίνακα ελέγχου. Ένας γρήγορος τρόπος για 
να επισκεφθούμε τη συγκεκριμένη περιοχή, εἶναι να κάνουμε δεξί κλικ στο εικονίδιο 
Ὑπολογιστής" και va επιλέξουµετις "Ιδιότητες". Στη συνέχεια κάνουμε κλικ στο "AA- 
λαγή ρυθμίσεων", που εμφανίζεται λίγο παραδίπλα από το буора του υπολογιστή. 
Έτσι εμφανίζεται ένα ακόµα παράθυρο. Από εκεί μπορούμε να αλλάξουμε то όνοµα 
του υπολογιστή και, το σημαντικότερο, να τον εντάξουµε σε κάποιο domain. Па to 
σκοπό αυτό πατάμε το κουμπί ᾿Αλλαγή..' κι εμφανίζεται Eva ακόµα παράθυρο (ουφ!. 
Εκεί ενεργοποιούµε την επιλογή "Τομέας", avti του "Ομάδα Εργασίας" και εισάγου- 
µε στο σχετικό πεδίο то буора του Domain controller µας. Σημειώστε OTL το буора 
πρέπει να γραφεί µε κεφαλαία. Πα παράδειγµα εμείς δώσαμε το DELTA. Μόλις па- 
τήσουµε το κουμπί ΟΚ, εμφανίζεται éva παράθυρο σύνδεσης που ζητάει буора χρή- 
στη και κωδικό πρόσβασης. Εκεἰ χρησιμοποιούμε cav username το Administrator και 
τον αντίστοιχο κωδικό, που επιλέξαμε κατά την αρχική ρύθμιση του Samba server. 
Αν εισάγουµε τα σωστά στοιχεία, θα εμφανιστεί Eva μήνυμα καλωσορίσµατος ото 
domain! 


[ole] Μόλις εντάξαµε то 
QQO-m » Πίνακας Ελέγχου » Σύστημα και Ασφάλεια » Σύστημα ~ | $4] | Αναζήτηση στον Πίνακα Ελέγχου р συγκεκριμένο μηχάνημα 
= - I e στο domain DELTA. Στην 
Ἀρχική σελίδα nif Ιδιότητες συστήµατος [σε] айё 
@ Διαχείριση Συσκε | Αλλαγές ονόµατος/τοµέα υπολογιστή X | γδεση 
μένους. 


@ Απομακρυσμένες, 
® Προστασία συστή 


Μπορείτε να αλλάξετε το όνοµα και την ιδιότητα μέλους. 
αυτού του υπολογιστή. Ot αλλαγές µπορεί να επηρεάσουν 
την πρόσβαση σε πόρους του δικτύου. Περισσότερες. 
πληροφορίες 


@ Ρυθμίσεις συστήμ 


: — tou domain. 
προχωρημένους || Όνομα υπολογιστή 

Win7 indows 7 

Πλήρες όνοµα uno] 

Win7 

[i] Καλώς ορίσατε στον τοµέα DELTA. 
Μέλος του συστήµατος 
© Τομέας: @ 2.536Hz 2.53 GHz 

DELTA | 
Ὁμάδα εργασίας 


|WORKGROUP 


rj δεδομένων µε πένα rj µε αφή για 


^ επόμενη επανεκκίνηση 
θα μπορούμε 
va συνδεθούµε 
χρησιμοποιώντας 
λογαριασμούς χρήστη 


Δείτε επίσης 
τα... 
Windows Update 
Πληροφορίες και 
επιδόσεων 


Sl Αλλαγή 
ρυθμίσεων 


οκ Άκυρο | Εφαρμογή 


1157 pp 
11/2/2016 


ΕΝ ©) 


Σε αυτό το στάδιο, για να ολοκληρωθεί n διαδικασία σύνδεσης απαιτείται µια επα- 
νεκκίνηση του υπολογιστή. Όταν ξεκινήσει το σύστημα ξανά, θα παρατηρήσετε µια 
σηµαντική διαφορά: Η οθόνη σύνδεσης (login screen) 8a είναι διαφορετική και θα 
σας προτρέπει να πατήσετε το συνδυασμό Cirl+Alt+Del, για να εμφανιστεί η φόρμα 
σύνδεσης. Περιττό να πούμε ὅτι η οθόνη σύνδεσης θα εμφανιστεί ακόµα κι αν την 
είχατε απενεργοποιήσει, πριν апо την σύνδεση ото domain. 
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Μετά την ένταξη στο 
domain, για τη σύνδεση 
στον υπολογιστή 
πρέπει να πατήσουμε το 
συνδυασμό πλήκτρων 
Ctrl+Alt+Del. 


Εδώ επιχειρούµε 

γα συνδεθούµε 

στο λογαριασμό 
Administrator του 
domain DELTA. Αυτός o 
Administrator αποτελεί 
διαφορετικό χρήστη 
από rov Administrator 


| DELTA\Administrator | 


Σύνδεση στο: DELTA 


Πώς μπορώ να συνδεθώ σε ἄλλον TOEO: 


‚ "Αλλαγή χρήστη: — 
που ενδέχεται va АДА. > 
προὐπήρχε στο S. 
σύστημα. Μιλάμε Γη ы 


για тоу διαχειριστή 
ολόκληρου του domain! 


Οι δικτυακοί λογαριασμοί (αυτοί που διαχειρίζεται o Domain Controller) έχουν σαν 
πρόθεμα то όνοµα του domain, ενώ οι τοπικοί λογαριασμοί (αυτοί που εἶχαν δηµι- 
ουργηθεί στο ίδιο το σύστημα), έχουν σαν πρόθεµα το буора του μηχανήματος. Στη 
δική µας περίπτωση πληκτρολογήσαμε σαν буора χρήστη то DELTA\Administrator 
και δώσαμε πάλι τον κωδικό πρόσβασης που γνωρίζει o Samba server. Μη νομίζετε 
όμως ότι συνδεθήκαµε αμέσως. Καθώς ήταν η πρώτη фора που χρησιμοποιούσαμε 
το συγκεκριµένο λογαριασμό, τα Windows έπρεπε να δημιουργήσουν µια επιφάνεια 
εργασίας µε ола τα αρχεία που διαθέτουν οι νέοι λογαριασμοί. Όταν πραγµατοποιη- 
θεί η σύνδεση και βρεθούμε στο desktop, διαπιστώνουμε ότι μπορούμε va προσθα- 
φαιρέσουμε προγράµµατα και να αλλάξουμε κάθε ρύθμιση του συστήµατος. Αυτό 
δεν πρέπει να σας κάνει εντύπωση. Μπορεί va µη χρησιµοποιήσαµε το λογαριασμό 
διαχειριστή του συγκεκριμένου μηχανήματος, αλλά συνδεθήκαµε ως ο διαχειρι- 
στής ολόκληρου του domain! 
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Διαχείριση χρηστών 


Εκτός απὀ τον βασιλιά, éva βασίλειο χρειάζεται και υπηκόους. Οµοίως, εκτός απὀ 
τον Administrator, το domain που έχουµε στήσει χρειάζεται και απλούς χρήστες,που 
θα απολαμβάνουν τις υπηρεσίες του Domain controller και του δικτύου (κάτι για TO 
οποίο δεν είμαστε σίγουροι OTL συμβαίνει µε τους υπηκόους ενός βασιλείου). H δη- 
μιουργία χρηστών μπορεί να πραγµατοποιηθεί µε το εργαλείο samba-tool. Ωστόσο, 
στο ξεκίνηµα του άρθρου υποσχεθήκαµε έναν εύκολο τρόπο διαχείρισης tou Active 
Directory. Και μπορεί το samba-tool να µην εἰναι στριφνό στο χειρισμό, αλλά υπάρχει 
κάτι πολύ πιο εύχρηστο και φιλικό. Αναφερόμαστε o' Eva πακέτο εργαλείων που 
παρέχει η Microsoft και ονομάζεται "Remote Server Administration Tools". To συγκε- 
κριµένο πακέτο διατίθεται δωρεάν για όλες τις εκδόσεις των Windows, апо τα XP 
έως τα 10. Οι αντίστοιχες εκδόσεις του πακέτου βρίσκονται στο Download Center 
της εταιρείας, στα ακόλουθα URLs: 


Windows 10 X https://www.microsoft.com/en-us/download/details.aspx?id-45520 
Windows 8.1 _ https://www.microsoft.com/en-us/download/details.aspx?id=39296 
Windows 8 https://www.microsoft.com/en-us/download/details.aspx?id=28972 
Windows 7 SP1 https://www.microsoft.com/en-us/download/details.aspx?id=7887 

Windows Vista https://www.microsoft.com/en-us/download/details.aspx?id=21090 
Windows XP X https://www.microsoft.com/en-ca/download/details.aspx?id-16770 


ellela] Мета тлу εγκατάσταση 

του πακέτου των 

- "Remote Server 

Αρχική σελίδα Πίνακα Ελέγχου Ρ : i : " Administration Tools", 
IK ү иа SERERE CU TUER ынын as aa πρέπει va προβούμε 


+ | | Αναζήτηση Λήψη προγραμμάτων р 


+ 


ΘΟΕ » Πίνακας Ελέγχου > Προγράμματα » Λήψη προγραμμάτων 


Κατάργηση εγκατάστασης. KÀ i i 

ενός προγράµµατος. SE х ЕЕ και στην ενεργοποίηση 
@ Ενεργοποίηση ἡ SEE κα ο ESTE TY των αντίστοιχων 

απενεργοποίηση των δυνατοτήτων των Windows | =- Ө Suvatot ή E 


ΟΞ: Για να ενεργοποιήσετε µια δυνατότητα, επιλέξτε το αντίστοιχο πλαίσιο. 

ελέγχου. Για να απενεργοποιήσετε µια δυνατότητα, απενεργοποιήστε TO 

αντίστοιχο πλαίσιο ελέγχου. Ένα γεμάτο πλαίσιο σημαίνει ότι μόνο ένα από το δίκτυο. 
μέρος της δυνατότητας έχει ενεργοποιηθεί. 


ΕΙ [ill |, Role Administration Tools ^ 

FIJ} Active Directory Certificate Services Tools a 
| AD DS and AD LDS Tools E 
V] |; Active Directory Module for Windows PowerShell 

= Æ} AD DS Tools 


m 
B 


ΝΔ] |; AD DS Snap-ins and Command-line Tools 
|}. Server for NIS Tools 


EN .- ο ο 
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Έχετε υπόψη ότι η εγκατάσταση του συγκεκριμένου πακέτου δεν μοιάζει µε την 
εγκατάσταση µιας τυπικής εφαρµογής. Θυμίζει περισσότερο την προσθήκη ενός 
πακέτου αναβάθμισης κι av αµέσως µετά την εγκατάσταση αναζητήσετε κάτι VEO 
στα προγράµµατα, δεν 8a βρείτε τίποτα καινούριο! Αυτό δεν πρέπει να σας ανη- 
συχήσει. Το πακέτο εγκαθίσταται σαν µια πρόσθετη δυνατότητα του λειτουργικού 
συστήµατος και θα πρέπει πρώτα va την ενεργοποιήσουµε. Па το σκοπό αυτό µε- 
ταβαίνουµε στην ενότητα "Προγράμματα και Δυνατότητες" του "Πίνακα Ελέγχου" κι 
επιλέγουμε το "Ενεργοποίηση ή απενεργοποίηση δυνατοτήτων των Windows". Από 
το δέντρο των δυνατοτήτων πρέπει να εντοπίσουµε και va ενεργοποιήσουµε TO 
στοιχείο "Active Directory Administrative Center". Μετά από αυτό το βήμα, av επισκε- 
φθούμε τα Εργαλεία Διαχείρισης” του "Πίνακα Ελέγχου", Ва διαπιστώσουμε ре хара 
ότι έχουν προστεθεί καινούρια εργαλεία. 


Εφόσον τα 


gO ~ [Gy « Ὅλα та στοιχεία tov Πίνακα Ελέγχου > Εργαλεία διαχείρισης + [++ || Αναζήτηση Εργαλεία διαχείρισης р ενεργοποιήσουµε, та 
εργαλεία που προσθέτει 
Sarai Ee =- He το πακέτο "Remote 
rp vmm Όνομα E Ἡμερομηνίατροπ.. Τύπος Μέγεθος ^ . Server Administration 
WE Επιφάνεια εργασίας | [a Active Directory Administrative Center 3/2/2016 113 щи Συντόμευση 2KB Tools" εμφανίζονται 
Aic 15η] Active Directory Domains and Trusts Συντόµευση 2ΚΒ στην ενότητα "Εργαλεία 
E] Πρὀσ.θέσεις | Active Directory Module for Windows Po... 3, Συντόμευση 2кв| διαχείρισης” του "Πίνακα 
| [BR Active Directory Sites and Services Συντόµευση 2KB Ελέγχου". 
09 Βιβλιοθήκες 12] Active Directory Users and Computers Συντόµευση 2ΚΒ 
В Bizo 127 ADSI Edit 3/2/2016 1:13 μμ Συντόµευση 2KB| 
E Έγγραφα [69 Remote Server Administration Tools 3/2/20161:05 p Συντόμευση экв [s 
E Εικόνες. ЁЁ Windows PowerShell Modules 14/7/2009 8:32 mp Συντόμευση 3ΚΒ E 
αἲ Μουσική [БЫ Αρχεία προέλευσης δεδομένων (ООВС) 14/7/2009 7:53 p Σωντόµευση 2ΚΒ 
fag) Διαγνωστικά μνήμης των Windows 14/7/2009 7:53 пп Συντόμευση 2ΚΒ 
#9 Οικιακή ομάδα fam Διαχείριση εκτυπώσεων 3/2/201611:52 mp Συντόμευση 2ΚΒ 
(FF Διαχείριση Υπολογιστή 14/7/2009 7:54 прп Συντόμευση 2KB 
1M Υπολογιστής @, Εκκινητής iSCSI 14/7/2009 7:54 mp — Συντόµευση 2ΚΒ 
(&) Εποπτεία επιδόσεων 14/7/2009 7:53 прп Συντόμευση 2KB 
€i Δίκτυο [E] Παράμετροι συστήματος 14/1/2009 7:53 тр Συντόμευση 2ΚΒ 
| Προβολή συμβάντων 14/7/2009 7:54 пр Συντόμευση 2KB Γ᾽ 
@ Τείχος προστασίας των Windows pe εξε.. 14/7/2009 7:54 пр Συντόμευση 2 ΚΒ 
[52 Τοπική πολιτική ασφαλείας 016 11:52 mp Συντόμευση 2KB 
uL 34 0:0000:.63 —. ые aun m 


Ημ/νία δημιουργί... 3/2/2016 1:13 μμ 
Μέγεθος; 7,73 KB 


еј о] [ша 


a 6 επιλεγμένα στοιχεία Ημερομηνία τροπ... 3/2/2016 1:13 μμ 


134 pp 


EN PER 
f 270 sane |, 


Πα την προσθήκη νέων χρηστων στο domain χρειαζόμαστε το εργαλείο "Active 
Directory Users & Computers". Μόλις το τρέξουµε θα εμφανιστεί Eva παράθυρο και 
στο αριστερό του τµήµα θα δούμε ένα στοιχείο µε TO буора тоо domain µας. Σε αυτή 
τη θέση εμείς συναντήσαμε το 'delta.local". Με Eva κλικ στο буора του domain, £s- 
διπλώνεται апо κάτω Eva δέντρο επιλογών. Επιλέγοντας апо εκεί Users, στο δεξιό 
τµήµα του παραθύρου θα εμφανιστεί µια λίστα µε τους χρήστες και τις οµάδες που 
υπάρχουν ήδη στο domain. Па va δημιουργήσουμε έναν νέο χρήστη, κάνουμε δεξί 
κλικ και επιλέγουμε TO Δημιουργία Χρήστη". Αυτό θα έχει σαν συνέπεια την εμφάνι- 
ση ενός μικρού οδηγού. Μη φανταστείτε κανέναν ενοχλητικό "Mayo", µε ατελείωτα 
περιττά βήματα, που θα рас ζητάνα πατάμε διαρκώς το κουμπί "Επόμενο". О οδηγός 
που εμφανίζεται περιλαμβάνει μόλις δύο βήματα και ζητάει τα απολύτως απαραίτη- 
τα (буора χρήση και username, κωδικό κ.ά). 


Б? 
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„ш Active Directory Users and Computers eco || | 
Αρχείο Ενέργεια Προβολή Βοήθεια 
e9 2091 018 9610 1% ΥΕ 
О Active Directory Users and Сот || Name Type Description ^ 
> Ш Saved Queries Hi Domain Gue... Security Group. All domain guests 
5 συ 8 Domain Со... Security Group... All workstations and ser... 
μα ως. 8 Domain Con... Security Group... All domain controllers i... 
| -- крнын 3, Administrator Χρήστης Built-in account for ad... 
> Е Domain Controllers & Guest Χρήστης Built-in account for gue... 
> [Ñ ForeignSecurityPrincipal: 88 Enterprise R.. Security Group... Members of this group ... 
8 Domain Аа... Security Group... Designated administrato... 
88 Cert Publish... Security Group... Members of this group 
Wi Schema Аа... Security Group... Designated administrat¢ зурвал 
88 Enterprise A... Security Group... Designated administrat Find... 
&, Group Polic... Υπολογιστής Δημιουργία › | 
8 Read-only D... s = 
88 RAS and IAS Επαφή Όλες οιεργασίες 4 
Ў, Allowed RO... es = Ανανέωση 
&, Denied ROD... се Εξαγωγή λίστας... 
88 DnsAdmins mslmaging-PSPs 
38, DnsUpdateP... ψευδώνυμα ουράς ММО Προβολή Ё 
B pit А Εκτυπωτής Τακτοποίηση εικονιδίων › 
«| m r a Kafetis Epon... А 
_—————!Е=ФШ= шд н Χρήστης Ευθυγράµµιση εικονιδίων 
Create a new object... Κοινόχρηστος φάκελος. тетт 
Βοήθεια 


Με τη βοήθεια του "Active Directory Users & Computers" μπορούμε να δημιουργήσουµενέους 
χρήστες και οµάδες χρηστών ή va αλλάξουμε τις ρυθµίσεις αυτών που υπάρχουν ήδη. 


Μόλις ολοκληρώσουμε τα βήματα του οδηγού, ο νέος λογαριασμός θα εμφανιστεί 
στη λίστα µε τους υπάρχοντες. Από εκεί, πλέον, μπορούμε να τροποποιήσουµε TE- 
ρισσότερες ρυθμίσεις αναφορικά µε το συγκεκριµένο χρήστη. Αρκεί να κάνουμε Ôt- 
пло κλικ επάνω ото буора тоо. Τοπαράθυροπου εμφανίζεται περιλαμβάνει πολλές 
καρτέλες, µε πάμπολλες ρυθμίσεις που δεν θα εἰχε νόημα να αραδιάσουµε εδω. 
Ενδιαφέρον παρουσιάζει η καρτέλα "Member Of", απὀ την οποία μπορούμε va opi- 
σουµετις οµάδες χρηστών (user groups) στις οποίες συμμετέχει o χρήστης. Н χρήση 
των ομάδων επιτρέπει στον Adinistrator να διαχειρίζεται τα δικαιώµατα πρόσβασης 
πολλών χρηστων ταυτόχρονα, χωρίς να επαναλαμβάνει τις ίδιες και τις ίδιες puð- 
μίσεις, για τον καθένα ξεχωριστά. Τέλος, ιδιαίτερο ενδιαφέρον παρουσιάζει και η 
καρτέλα "Profile". Από εκεί μπορούμε va ενεργοποιήσουµε τη λειτουργία Roaming 
Profile yla то συγκεκριµένο χρήστη. Πα va πετύχουμε κάτι τέτοιο, πρέπει va ορίσου- 
µε Eva δικτυακό φάκελο, στον οποίο θα αποθηκεύονται τα αρχεία και οι ρυθµίσεις 
του χρήστη. Ауаферораоте στο λεγόμενο "Profile Path". Εμείς, για τον λογαριασμό 
Administrator ορίσαµε τον κατάλογο \\samba\Users\Administrator. Να θυμίσουμε 
ότι samba είναι το hostname του Domain controller µας, ενώ Users εἶναι το буора 
που δώσαμε στο δικτυακό πόρο που εξυπηρετεί ο Samba server και βρίσκεται στη 
θέση /home/Users, του server. Εκεί µέσα δεν υπάρχει κατάλογος Administrator αλλά, 
όπως υποψιάζεστε, θα δημιουργηθεί αυτόματα από τον Domain controller. 
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Le [ |) 
Of ices 
Og 

1 count for ad. 

Β їп this group c. 
lof this group 

їп this group c. 

4 linistrators Gro. 
who are per. 


«Προηνούμειο] Enim | ренче. 


an “e ul TOUP... TVers in this group can... 
8 Read-only D... Security Group... Members of this group ... 
82, Schema Ad... Security Group... Designated administrato... 


2:06 pp 
11/2/2016 


Πα] D) 


Le Jer Les] 
wH 


Confirm password: ΠΤ 


4 User must change password at next logon 
User cannot change password 
Password never expires 
Account is disabled 


ts who are per... 
d administrato... 
ations and ser... 


controllers i... 


πε RAS and IAS ... ul тоор... Servers in this group can... 
8 Read-only D... Security Group... Members of this group ... 


Hi Schema Ad... Security Group... Designated administrato... 


2:06 μμ 
11/2/2016 


Tunc D) 


Μέσα ano ra δύο βήματα που περιλαμβάνει ο σχετικός οδηγός, 
η δηµιουργία ενός νέου λογαριασμού χρήστη αποτελεί πανεύκολη διαδικασία. 
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Ολοκληρώνοντας... 


Τώρα μπορούμε va αποσυνδεθούµε από το µηχάνηµα µε τα Windows και να συνδε- 
θούμε ξανά στον server, yta va δούμε TL συνέβη όλη αυτή την copa. Εμείς μεταβήκαμε 
στον κατάλογο /home/Users, εκτελέσαμε TO Is και διαπιστώσαμε OTL εἰχε δημιουρ- 
γηθεί ένας κατάλογος ονόματι "AdministratorV2". Μέσα σε αυτόν υπήρχαν οι κατά- 
λογοι AppData, Έγγραφα, Εικόνες, Λήψεις, Desktop και κάθε άλλο αρχείο που περι- 
λαμβάνεται σε évav λογαριασμό χρήστη στα Windows. Πριν προχωρήσουμε, αξίζει 
να σταθούμε GE µια λεπτομέρεια. Αναρωτιέστε από πού προήλθε η κατάληξη "V2"; 
Όταν ορίσαµε τη θέση αποθήκευσης των αρχείων για TO συγκεκριµένο λογαριασμό 
χρήστη, δεν δώσαμε τίποτα τέτοιο. Όπως υποψιάζεστε, TO "V2" προστέθηκε αυ- 
τόµατα από tov Domain controller. Βλέπετε, κατά τη μετάβαση από τα Windows ΧΡ 
στα Windows Vista, το περιεχόµενο και η διάρθρωση των καταλόγων των χρηστών 
άλλαξαν αρκετά. Н κατάληξη "V2", λοιπόν, χρησιµοποιείται για να αποφεύγονται 
τα μπερδέματα μεταξύ των διαφόρων εκδόσεων των Windows. Όταν ἕνας Aoya- 
ριασµός χρήστη του domain συνδέεται σε σύστημα µε Vista й κάτι μεταγενέστερο, 
χρησιμοποιείται ο κατάλογος µε την επέκταση. Αντίθετα, όταν о ἰδιος λογαριασμός 
χρησιμοποιείται σε σύστημα µε Windows ΧΡ, τα αρχεία φυλάσσονται στον κατάλο- 
yo χωρίς την επέκταση. Εμείς είχαμε κάνεις τις δοκιμές µας από Eva σύστημα µε 
Windows 7 και ακριβώς γι αυτό εἰχεπροστεθείη επέκταση. Αν είχαμε συνδεθεί апо 
κάποιο σύστημα µε Windows XP, ο κατάλογος µε τα αρχεία του χρήστη θα εἰχε το 
όνομα "Administrator" — σκέτο. 


Φ Д Active Directory Users and Computers 
ο) ΑθΧείο Ενέργια Προβολή] 
е»|®[ 4 πι] 
: В Active Directory Users and |. 
b L7] Saved Queries 
а ӚЗ delta.local User logon пате: 
C3 Users E | 
> MI Compete User logon name (pre-Windows 2000): 


' 
> © Builtin DELTA τ 
> 8) Domain Controllers 
D 


> [1 ForeignSecurityPrinj. - | Log Оп To... | 


Σάββατο , 12 Μαρτίου 2016 


[ Εφαρμογή | 


А - gu υ , 413 ри | 

Pe [Γι μα 4 11/2/2016 
Από την καρτέλα account μπορούμε va τροποποιήσουµε όλες τις ρυθμίσεις ενός λογαριασμού χρήστη. Па 
παράδειγµα, μπορούμε να καθορίσουμε τα μηχανήματα апо τα οποία θα επιτρέπεται η σύνδεση - ἡ akópa Kal va trjv 
περιορίσουµε σε συγκεκριµένα "χρονικά παράθυρα” της ημέρας. 
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Με την υποδομή που έχουμε συγκροτήσει μπορούμε va φτιάξουμε κι άλλους KOL 
νόχρηστους φακέλους, πέρα ато αυτοὺς που αξιοποιεί ο Domain controller και για 
κάθε χρήστη. Па παράδειγµα, μπορούμε να φτιάξουμε έναν κατάλογο στον οποίο θα 
έχουν πρόσβαση όλοι οι χρήστες και θα τον χρησιμοποιούν για τον ελεύθερο ĝa- 
μοιρασμό αρχείων. Το πώς μπορούμε να δημιουργήσουμε έναν κοινόχρηστο πόρο то 
εἰδαμε νωρίτερα. Αρκεί va φτιάξουμε έναν κατάλογο, va tou δώσουμε та επιθυμητά 
δικαιώµατα πρόσβασης και στη συνέχεια va ενημερώσουμε κατάλληλα τον Samba 
server. Αυτό προὐποθέτει να προσθέσουμε µια ακόµα ενότητα, σαν αυτή που είδαμε 
παραπάνω, µε τον τίτλο [Users]. 


VJ]. 2 Active Directory Users and Computers е eis 


од Αρχείο Ενέργεια Προβολή Ἰριότητες: Petros Kyladitis ΕΒ “κ 
€ 9| ul | 
= — Telephones | Organization |  MemberOf | СОМ+ = 
Щ Active Directory Users and General | ‘Address Account Profile 
E] Saved Queries 
4 $3 delta.local User logon name: . 
E Users a (Qdetalca +) 
E Computers User logon пате (pre- Windows 2000): 
a ΕΕ Buitin DELTA я 
4 80 Domain Controllers 
ΤΊ ForeignSecurityPrin | Logon Hours. ] [ Log On To. | 
[7] Unlock account N 


Account options: 


-] User must change password at next logon 
[E] User cannot change password 
Password never expires 
Store password using reversible encryption - 
Account expires 
© Never 
End of Σάββατ 


ж) 


e E οἱ all = | EN πο EE 


Н καρτέλα profile μοιάζει σχεδόν αδιάφορη, αλλά διαθέτει µια ρύθμιση που ενεργοποιεί τη δυνατότητα rou Roaming 
Profile για τον επιλεγμένο χρήστη. Αρκεί va δηλώσουμε έναν κατάλογο, σε κάποιο διαμοιραζόμενο δικτυακό πόρο. 


Άκυρο | 


Γ Βοήθεια | 


Πραγματοποιήσαµε εκτεταμένες δοκιμές στο τοπικό µας δίκτυο και μείναμε απὀ- 
λυτα ικανοποιημένοι. Μάλιστα, ο γράφων έχει αρκετή εμπειρία απὀ τη διαχείριση 
δικτύων που βασίζονται σε Windows Server και οφείλει να σημειώσει ότι ο συνδυ- 
ασμός Kerberos µε Samba φαίνεται να λειτουργεί ταχύτερα και оралотера. Τελικά, 
ακόμα κι αν έχετε ένα δίκτυο µε μηχανήματα που τρέχουν Windows, το Linux µπορεί 
να προσφέρει πολλές υπηρεσίες και είναι σίγουρο ότι θα σας εντυπωσιάσει. 


13 3000018 users 4096 Feb 
14 3000018 users 4096 Feb 


ruxrusr-x* 2 3000000 users 4096 Feb 
ruxrus---* 14 3000016 users 4096 Feb 
oot@samba : /home/Userst 


Για την τήρηση των δεδοµένων κάθε χρήστη του domain, δημιουργούνται δύο ξεχωριστοί φάκελοι. Οι φάκελοι µε το 
επίθεµα".ν2" διατηρούν τα δεδοµένα του εκάστοτε λογαριασμού, για τα μηχανήματα που τρέχουν Windows Vista ή 
κάτι μεταγενέστερο 
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Skill: Intermediate 
Tags: TorGuard, VPN, pfSense, NAT, aliases 


Στον αγώνα για ανέµελο torrenting, µέρος 3/3 


Πρώτη γραμμὴ άμυνας, 
µε το pfSense 


Στα δύο προηγούμενα ἄρθρα της σειράς γνωρίσαμε την υπηρεσία του TorGuard 
και µετά δείξαµε πώς φτιάχνουμε το δικό µας Seedbox, µε όλους τους 
απαραίτητους μηχανισμούς για την προστασία της ιδιωτικότητας αλλά και της 
ανωνυμίας µας. Στο παρόν άρθρο μετακινούµε τους εν λόγω μηχανισμούς στην 
πρώτη γραμμή, WOTE va µην αφορούν μεμονωμένες συσκευές 
αλλά ολόκληρο το τοπικό µας δίκτυο. 


του Χρήστου Βαρελά 


Αναλυτικότερα, θα δούμε πώς amd évav router που τρέχει pfSense 
(https://deltahacker.gr/?p=8234) πραγματοποιούμε δύο ἡ περισσότερες μόνιμες 
συνδέσεις προς VPN servers tou TorGuard, WOTE διαφορετικά υποσύνολα συσκευών 
του τοπικού δικτύου να βγαίνουν στο Internet µέσω διαφορετικών απομακρυσμένων 
servers. Н ανωνυμία αλλά και η ιδιωτικότητα διασφαλίζονται σε κάθε περίπτωση, 
ωστόσο αναλόγως του βασικού ρόλου κάθε συσκευής είναι πιθανό να βγαίνει στο 
Internet, r.x., µέσω Ελβετίας (Seedbox), Ισλανδίας (Linux servers) ἡ Αμερικής (Netflix 
clients). 


О router µας τρέχει το pfSense 2.2.6-RELEASE 64bit. Διαθέτει µία κάρτα δικτύου 
WAN, η οποία επικοινωνεί µε το ADSL modem του ISP µας, καθώς και δύο άλλες 
κάρτες δικτύου (LAN, ОРТ), οι οποίες είναι γεφυρωμένες μεταξύ τους (bridged). 
Τη γέφυρα (OPT2) βλέπουν όλες οι συσκευές του τοπικού δικτύου και, παρεμπι- 
πτόντως, σε ἑνα απὀ τα διαθέσιµα ports του OPT2 υπάρχει κι éva Wireless Access 
Point. Σε Eva απλούστερο και πιο συνηθισμένο setup έχουµε µόνο τις κάρτες WAN 
και LAN. Πάντως όλα όσα ακολουθούν δεν εξαρτώνται απὀ το πλήθος των καρτών 
δικτύου που διαθέτει το pfSense. 


Θα εργαστούμε εξάλλου µε τρόπο παρόμοιο (αλλά ὀχι (610 р εκεί- 
vov που εἰχαμε εργαστεί όταν συνδέσαµε to pfSense µε απομακρυσμέ- 
vo Access Server (https://deltahacker.gr/?p=15109), σε VPS της DigitalOcean 
(https://deltahacker.gr/?p=15064). 
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Υπόδειξη. Αν δεν έχετε διαβάσει τα δύο προαναφερθέντα άρθρα, µην το κάνετε 
τώρα: Αυτή τη φορά δεν υπάρχει Access Server, ενώ και οι συνδέσεις VPN προς 


τους servers του TorGuard δεν επιτυγχάνονται µε tov (біо τρόπο που επιτυγχάνε- 
ται η σύνδεση προς τον Access Server. 


Πα τη συνέχεια, υποθέτουμε ότι έχετε ήδη evepyó λογαριασμό για την υπηρεσία 
Anonymous VPS του TorGuard (https://torguard.net/aff.php?aff-1790). Χωρίς άλλες 
περιστροφές, ας πιάσουµε δουλειά. 


Βήμα 1, λήψη αρχείου µε configurations. Πρόκειται για ένα μικρό ZIP το οποίο Aap- 
βάνουμµε ато το http://torguard.net/downloads/TorGuard.pfsense.zip. Αποσυμπιέζο- 
ντάς το βλέπουμε OTL περιλαμβάνει 16 στο πλήθος text files — ή τουλάχιστον αυτό 
ίσχυε µε то ZIP που εμείς κατεβάσαμε. Καθένα από τα text files αντιστοιχεί σε δια- 
φορετικό TorGuard VPN server, σε διαφορετική γεωγραφική περιοχή στον πλανήτη. 
Με µια рата στα ονόματα των αρχείων φαίνεται αµέσως για ποιες γεωγραφικές 
περιοχές μιλάμε. Θα ξεκινήσουμε µε το αρχείο pfsense.SWISS.txt, шоте να συνδέ- 
σουµε το pfSense box µε VPN server tou TorGuard στην Ελβετία. Λίγο αργότερα, θα 
κάνουμε ότι χρειάζεται WOTE το Seedbox που έχουμε να βγαίνει στο Internet μέσω 
του εν λόγω TorGuard server. 


999 -= /Users/cvar/Downloads/TorGuard.pfsense 
< a Ej iol By фу 5+ Q Search 
Favorites Date Modified Size Kind a 
fet cvar pfsense.AU-Melbourne.txt 07/05/15 10:27 2 KB Plain Text 
pfsense.AU-Sydney.txt 07/05/15 10:25 2 KB Plain Text 
ЕЭ Desktop xm 
pfsense.Canada.txt 30/03/15 22:44 2 KB Plain Text 
22 Dropbox pfsense.France.txt 26/11/14 23:00 2 КВ Plain Text 
o Downloads pfsense.Iceland.txt 26/11/14 22:59 2 KB Plain Text 
pfsense.Japan.txt 23/04/15 11:25 2 KB Plain Text 
m Documents pfsense.Netherlands.txt 26/11/14 22:56 2 KB Plain Text 
Ον iCloud Drive pfsense.NewZealand.txt 26/11/14 22:58 2 KB Plain Text 
УМ Applications pfsense.Romania.txt 26/11/14 22:59 2KB Plain Text 
pfsense.Russia.txt 26/11/14 22:55 2 KB Plain Text 
pfsense.SWISS.txt 05/12/14 10:08 2 KB Plain Text 
pfsense.UK.txt 26/11/14 22:55 2 KB Plain Text 
pfsense.USA-Dallas.txt 26/11/14 22:54 3 KB Plain Text 
pfsense.USA-LA.txt 26/11/14 22:54 3 KB Plain Text 
pfsense.USA-Miami.txt 26/11/14 22:53 3 KB Plain Text 
pfsense.USA-New York.txt 26/11/14 22:53 3 KB Plain Text 


li MBPr15 > 88 Users > @ cvar > ΙΙ Downloads > |) TorGuard.pfsense 
16 items, 315,36 GB available 


Καθένα από та 16 αρχεία κειµένου περιλαμβάνει το δημόσιο πιστοποιητικό που χρησιμοποιεί η Αρχή 


Πιστοποίησης του TorGuard, καθώς και οδηγίες για τη σύνδεση του pfSense σε VPN server της αντίστοιχης 
γεωγραφικής περιοχής. 
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Βήμα 2, εισαγωγή δηµόσιου πιστοποιητικού του TorGuard, στο pfSense. Από τον 
web browser της προτἰμησής µας περιηγούµαστε στο web panel του pfSense, κάνου- 
με login στο λογαριασμό του διαχειριστή κι ακολουθούμε τη διαδρομή System > 
Cert Manager > CAs. Με κλικ στο εικονίδιο [+] φορτώνει µια σελίδα για την εισαγω- 
γή ενός νέου δηµόσιου πιστοποιητικού. Στο πεδίο Descriptive name, στο πάνω иё- 
ρος της σελίδας, πληκτρολογούμε κάτι περιγραφικό για το VEO πιστοποιητικό (π.Χ., 
"TorGuard Switzerland", χωρίς τα εισαγωγικά). Θέτουμε Method = Import an existing 
Certificate Authority και στο πεδίο Certificate data, апо κάτω, µε copy και paste µετα- 
φέρουμε τοπιστοποιητικό апо το αρχείο pfsense.SWISS txt. Συγκεκριµένα, αντιγρά- 
φουμε κι επικολλούμε όλο το κείμενο μεταξύ των ----- BEGIN CERTIFICATE----- και --- 
--END CERTIFICATE---- (αυτών συμπεριλαμβανομένων). Επικυρώνουµε τη µεταφορά 
µε EVA κλικ στο κουμπί Save, στο κάτω µέρος της σελίδας. 


o 8 & pfsense/system. camanager.php?act-new 


» Interfaces * Firewall > Services › VPN > Status » Gold 


» System » Diagnostics 


System: Certificate Authority Manager 
os 


Descriptive name 


το TorGuard Switzerland 


Method |. Import an existing Certificate Authority B 


g Certificate Authority 


Certificate data А, AJIBAQSRC46DnL/SEAPbi/cOQliSWO7lRHYyZJdlLUMlsnwkp6Ul6BMJq8q3UX32 
spqb£ 3wz394y/ TpGQgkd 10fgAdwf /C7653375wU/ vi VS PDWfuD2HmGqVmcmXnóRp 
9Ewr+oryRw8G£sVBLZHTKWE1RZrRAr ShiZhNySGEWwSX1ELi cvNy+9m1Fhk2Nb4 би 


io&Ke1Lc7 /okeXNWHPv6D1m39TCNBpGX/xNoWBzqs1EtAl ZGvMcQHsKL£i3Nbaab 
ΒΥΘΟΒΚΝΞ feZA+ih4BzZ6y2E+x8 4NYHRebqi jXTtHp35coyX11BL/+LBo2Z8 6hKszEx 
F3pjGU0* 8NzvdPUbKndhzyPPnHFl 

puis END CERTIFICATE-----| 


a certificate in X.509 PEM format here. 


Certificate Private Key 
(optional) є 


eee X — |. pfsense.SWISS.txt ~ — menm А 
жжжРаѕ+е the entire CA content below under System > Certificate Authoritys+** 


-----ΒΕΟΙΝ CERTIFICATE----- 
____ MEIEWTCCA6mgAwIBAgIJAKRO jebUHo0gMAOGCSqGSID3DQEBBQUAMIGbMQswCQYD 
Paste the private key for the above certificate VQQGEwJ VUZELMAKGA1UECBMCRkwxEDAOBgNVBACTB@9ybGFUZG8xETAPBgNVBAOT 
goes E stor CFRvckd1YXJ kMQwwCgYDVQQLEWNWUE4xEzARBQNVBAMTC LRHLUQWUE4tQQEXETAP 

BgNVBCKTCFRvckd1YXJkMSQwIgYJKoZIhvcNAQkBFhVzeXNhZG1pbkBOb3JndWFy 
D ZCSuZXQwHh cNMTQwNDE3MTAwOT IzWhcNM j QWNDEOMTAwOTIZWj CBmzELMAKGA1UE 
Enter a decimal number to be used as the ser BMCVVMxCzAJBgNVBAgTAKZMMRAwDg YDVQQHEwdPcmxhbmRvMREwDwYDVQQKEwhU 
b3JHdWFyZDEMMAoGA1UECxMDVBOMRMwEQYDVQQDEwpURy1PVlBOLUNBMREwDwYD 
e VQQpEwhUb3JHdWFyZDEKMCIGCSqGSID3DQEJARYVC3 LzYRtaW5AdG9yZ3VhcmQu 


Serial for next certificate 


bmVOMIIBIjANBgkqhkiG9wO0BAQEFAAOCAQBAMIIBCQKCAQEAws1hJz LbWK lm3DEO 
XyQpmvtxwrsRACIYMi8C6np5w74lTRYmGBcuuPqAT3ig2DnH9HNNFXx1WWZbYOBpU 
altdn7uYErJi4EP9/t213uXCNgoWYVdVP1j 5EXIY10acOv9srbNZHeWpxHIbl1wZr 
1i4sLsdaifOibgVZIO91FATXGrVdFDaQb20j yJ rFW8b4xbC8pBJxQDzqPeu9mkVpu 
OhBuU+dM+9h+8Bj OtpdAernEAt8CbHIywe9Rjm0JLrYmCPKuB5 LdVgG3rYQWFa3X 
YWj rWtr//nGMA4fAWKOFC2PHWA29I3JwdynTNLsB9NQi0N7hhR6 Lmt CMeqH LmüoAz 
4Ad4gQIDAQABo4IBBDCCAQAwHQYDVROOBBYEF JvAPA1gnlD/maj xi-43jL0XDf qQ 
MIHQBgNVHSMEgcgwgcWAFJvAPA1gn LD/maj xi--43 j LOXD f qQoYGhpIGeMIGbMQsw 

o — —- CQYbVQQGEwJVUzELMAKGA1UECBMCRKkwxEDAOBgNVBACTBO9ybGFuZGBxETAPBgNV 
pfSense is © 2004 - 2016 by Electric Sheep BAOTCFRvCkd1YXJkMQwwCg YDVQQLEWNWUE4xEZARBQNVBAMTC LRHLUSWUEAtQOEX 
ETAPBgNVBCKTCFRvckd1YXJ kMSQwIgYJKoZIhvcNAQKkBFhVzeXNhZG1pbkB0b3Jn 
dWFyZCSuZXSCCQCkTo3m1B6NIDAMBgNVHRMEBTADAQH/MAQGCSqGSIb3DQEBBQUA 
A4IBAQBRG46DnL/8EAPbi/e0Q1i5WO7 LRHYyZJd LLUM Lsnwkp6U L6BMJq8q3UX3z 
*pqDf3wz j94y/IpGQgEA4l0fgAdwf /C7F533TSwU/vi--5PDWfwD2WmGqVmcmXn6Rp 
9Fwr*oryRw8Gf sVBLZHTKWFIRZrRAr8hWZhNySGFwSXlEIicvNy--9mlFhk2Nb46w 
ioZKc1Lc7/okeXNWHPV6D Lm39TcNBpGX/xNoWBzqs 1EtA1ZGvMcQHsKLf i3Nbaab 


BYe@8KWs feZA+ih4BZ6y2E+x84NYHRebqijXTtHp35coyX11BL/+LBoZ86hKszEx 
F3pjGU0+8NzvdPUbKndhzyPPnHF1 
emer END CERTIFICATE = === 


жжжІп the OpenVPN client advanced configuration box paste the following: *** 


remote swiss.torguardvpnaccess.com 443; auth-user-pass /root/vpnpassword; 
persist-key; persist-tun; tls-client; comp-lzo; verb 1; 


Μεταφορά του δημόσιου πιστοποιητικού της Αρχής Πιστοποίησης rou TorGuard, στη λίστα µε τους CAs mou 


γνωρίζει το pfSense µας. 
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өөө « ги] o * & pfsense/system camanager.php?act-new Га о 5 [е lm 


» System » Interfaces * Firewall › Services > VPN > Status * Diagnostics * Gold › Help 


System: Certificate Authority Manager 


[ΠΤ] Certificates | Certificate Revocation 


Descriptive name δ, TorGuard Switzerland 


Certificate data 


SKL£i3 
ScoyXL1BL/4LBoZ86hKszEx 


4 


Paste a certificate in X.509 PEM format here. 


Certificate Private Key 1 
(кеш) Li өөө | | pfsense.SWISS.txt ~ 
wesPaste the entire CA content below under System > Certificate Authority/ +e 


-----ΒΕΟΙΝ CERTIFICATE----- 

______________________ MEIEWTCCA6mgAwIBAgIJAKRO ebUHo@gMA@GCSqGSIb3DQEBBQUAMIGbMQswCQYD 

Paste the private key for the above certificate VQQGEwJVUZELMAKGA1UECBMCRKwxEDAOBQNVBACTBO9ybGFUuZGBXxETAPBQNVBAOT 
аа RESO CFRvckd1YXJ kMQwwCgYDVQQLEWNWUE4xEZARBgNVBAMTC LRHLUSWUE4tQQEXETAP 

EE BgNVBCKTCFRvckd1YXJkMSQwIgYJKoZIhvcNAQkBFhVzeXNh ZG1pbkB0b3JndwFy 
Ν ZC5uZXQwHhcNMTQwNDE3MTAWwOTIzWhcNM j ΟΝΝΡΕΘΜΤΑΝΟΤΙΖΝΗ CBmzELMAKGA1UE 
Enter a decimal number to be used as the ser BhMCVVMxCzAJBgNVBAgTAKZMMRAwDg YDVQQHEwdP cmxhbmRvMREwDwYDVQQKEwhU 

b3JHdWFyZDEMMAoGA1UECXMDV LBOMRMwEQYDVQQDEwpURy 1PV LBOLUNBMREwDwYD 

"e VQQpEwhUb3JHdWFyZDEKMCIGCSqGSIb3DQEJARYVC3 LzYWRtaWSAdG9yZ3VhcmQu 

j 


bmVOMIIBIjANBgkqhkiG9wOBAQEFAAOCAQBAMIIBCgKCAQEAws1hJz lbWK lm3DEO 
XyQpmvtxwrsRACIYMi8C6np5w74lTRYmGBcuuPqAT3ig2DnH9HNNFx1WWZbYO8pU 
altdn7uYErJi4EP9/t213uXCNgoWYVdVP1j 5EXIY10acOv9srbNZHevlpxHIblwZr 
1i4sLsdaifOibgVZI91FATXGrVdFDaQb20j yJ rFW8b4xbC8pBJxQDzqPeu9mkVpu 
OhBuU+dM+9h+8Bj OtpdAernEAt8CbHIywe9Rjm0JLrYmCPKuB5 LdVgG3rYQWFa3X 
Үн] rWtr//nGMAfAWKOFC2PHWA29gI3JwdynTNLsB9NQi0N7hhR6 Lmt CMeqH Lm@oAz 
4Ad4gQIDAQABo4 IBBDCCAQAWHQYDVR@OBBYEFJVAPA1gn1D/majxi+43jL@XDfqQ 
MIHQBgNVHSMEgcgwgcWAFJvAPA1gn LD/maj xi+43jL@XDfqQoYGhpIGeMIGbMQsw 
σσ CQYDVQQGEwJ VUZELMAkGA1UECBMCRkwxEDAOBgNVBACTB@9ybGFuZG8xETAPBgNV 
pfSense is © 2004 - 2016 by Electric Sheep BAOTCFRvckd1YXJ kMQwwCgYDVQQLEwNWUE4xEZARBgNVBAMTC LRHLU9WUEAtQOEx 
ETAPBgNVBCKTCFRvckd1YXJkMSQwIgYJKoZIhvcNAQKBFhVzeXNhZG1pbkB@b3In 
dWFyZC5uZXSCCQCKTo3m1B6NIDAMBgNVHRMEBTADAQH/MAQGCSqGSIb3DQEBBQUA 
AA4IBAQBRG46DnL/8EAPbi/e0Ql15W07 LRHYyZJd LLUM Lsnwkp6U L6BMJq8q3UX3z 
*pqDf3wz j94y/IpGQgEAlQfgAdwf /C7F533TSwU/v i--5PDWfwD2WmGqVmcmXn6Rp 
9Fwr*oryRw8Gf sVBLZHTKWF1RZrRAr8hWZhNySGFwSXlEIicvNy-9mlFhk2Nb46w 
ioZKc1Lc7/okeXNWHPV6D lm39T CNBpGX/xNoWBzqs1EtA1ZGvMcQHsKLf i3Nbaab 
BYe08KWs feZA+ ih4BZ6y2E+x84NYHRebqij XTtHp35coyX11BL/+LBoZ86hKszEx 
F3pjGU@+8NzvdPUbKndhzyPPnHF1 
—-END CERTIFICATE----- 


жжжІп the OpenVPN client advanced configuration box paste the following: жк 


remote swiss.torguardvpnaccess.com 443; auth-user-pass /root/vpnpassword; 
persist-key; persist-tun; tls-client; comp-lzo; verb 1; 


Ιδού τα δύο πιστοποιητικά που διαθέτει vo pfSense µας έως τώρα. To πρώτο ανήκει στον OpenVPN server toU 


ίδιου του router (https://deltahacker.gr/?p=12109), ενώ το δεύτερο εἰναι εκείνο rou TorGuard (πρόκειται για 
εκείνο που μόλις εισαγάγαμε). 


Βήμα 3, ρύθμιση OpenVPN client προς tov VPN server tou TorGuard. Λίνουμε VPN 
> OpenVPN > Client και κάνουμε κλικ πάνω στο κουμπί [+], δεξιά. Παρουσιάζεται 
τότε µια σελίδα για τη ρύθμιση ενός νέου OpenVPN client. Φροντίζουμε ώστε va 
ισχύουν τα ακόλουθα: 


* Server Mode = Peer to Peer (SSL/TLS ) 
* Protocol = UDP 

* Device mode = tun 

* Interface = WAN 


* Server host or address = swiss.torguardvpnaccess.com (η διεύθυνση αναφέρε- 
ται oto αρχειάκι pfsense.SWISS.txt) 


* Server port = 443 (το port αναφέρεται στο pfsense.SWISS.txt) 
* Description = TorGuard Switzerland (µπορείτε φυσικά va δώσετε όποια περι- 
γραφή θέλετε) 
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өөө < Β ABP + 8 pfsense/vpn openvpn client.php?act-new 2 o th c m 


› System * Interfaces * Firewall » Services > VPN » Status * Diagnostics * Gold * Help 


OpenVPN: Client 


Server Ш Client Specific Overrides | Wizards | Client Export | Shared Key Export 
General information 


Disabled / | Disable this client 
Set this option to disable this client without removing it from the list. 


Server Mode | PeertoPeer(SsL/TLs) E 
Protocol “UDP | q 


Device mode 


Interface 


Local port 


Sever hosi or address “ο swiss.torguardvpnaccess.com tt 


Server port 


Proxy host or address 


Proxy port 


паа Authentication method: | none [E 


Server host name resolution (7 Infinitely resolve server 


Continuously attempt to resolve the server host name. Useful when communicating with a server that is not permanently 
connected to the Internet. 


Description Ν TorGuard Switzerland 


You may enter a description here for your reference (not parsed). 


Οιπρώτες γενικές ρυθµίσεις του OpenVPN client για τον TorGuard VPN server στην Ελβετία. 


Συνεχίζουμε στην ἰδια σελίδα και συγκεκριµένα στην ενότητα User Authentication 
Settings. Εκεί, στις θυρίδες Username και Password πληκτρολογούμε τα credentials 
του λογαριασμού µας στο TorGuard, για την υπηρεσία του Anonymous VPN. 


eee < E + а pfsense/vpn_openvpn_client.php?act=edit&id=0 GI eh [и] 


» System > Interfaces * Firewall » Services b VPN Status * Diagnostics » Gold * Help 


Чї, TorGuard Switzerland 
You may enter a description here for your reference (not parsed). 


User Authentication Settings 


Leave empty when no user name and/or password are needed. 


Username : КҮТ: w@! 


Εισαγωγή των στοιχείων του λογαριασμού µας στο TorGuard, για την υπηρεσία Anonymous VPN. 


Αμέσως апо κάτω, στην ενότητα Cryptographic Settings, βεβαιωνόμαστε үа та akó- 
λουθα: 


* to TLS Authentication να μην είναι τσεκαρισµένο 


* Peer Certificate Authority = TorGuard Switzerland (ή όπως αλλιώς ονοµάσαμε 
το δημόσιο πιστοποιητικό που εισαγάγαµε στο βήμα 1) 
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Client Certificate = webConfigurator default (...) *In Use 

* Encryption algorithm - BF-CBC (128-bit) 

Auth Digest Algorithm = НАТ (160-bit) 

Hardware Crypto - BSD cryptodev engine - RSA, DSA, DH 


999 < i © 3: 8 pfsense/vpn_openvpn_client.php?act=new eh 


„Ө. 
» System » Interfaces * Firewall » Services >» VPN › Status * Diagnostics » Gold » Help Es 


Cryptographic Settings 

Ου; Enable authentication of TLS packets. 

Peer Certificate Authority “TorGuard Switzerland B «eee 

Client Certificate | webConfigurator default (55e0562cce64e) "η Use B A 


Encryption algorithm ᾿ BF-CBC (128-bit) В ——— 


Auth Digest Algorithm ΞΗΑΊ (160-bit) 
NOTE: Leave this set to SHA1 unless the server is set to match. SHA1 is the default for OpenVPN. 


Hardware Crypto BSD cryptodev engine - RSA, DSA, ОН [ tqt 


Οιρυθµίσεις του νέου OpenVPN client, οι οποίες αφορούν στην κρυπτογράφηση. Па то Peer Certificate Authority 
θα επιλέξετε το πιστοποιητικό που εισαγάγατε στο βήμα 1. 


Στην ἴδια σελίδα tou pfSense αλλά πιο κάτω, υπάρχει η ενότητα Advanced 
configuration. Ανοίγουμε το αρχείο pfsense.SWISS.txt κι αντιγράφουµε τις οδηγἰ- 
ες για τον OpenVPN client που υπάρχουν στο τέλος του αρχείου. Τις επικολλούμε 
στο πλαίσιο ονόματι Advanced του pfSense κι αµέσως µετά διαγράφουµε το τμή- 
μα "remote swiss.torguardvpnaccess.com 443; auth-user-pass /root/vpnpassword;". 
Τώρα, όλες τις ρυθμίσεις και τις επεμβάσεις που μόλις κάναμε o' αυτό το βήμα, το 
υπ’ αριθμόν 3, τις επικυρώνουμε µε κλικ στο κουμπί Save. 


Μεταφορά των ρυθμίσεων yia τον 
OpenVPN client, απὀ το αρχείο pfsense. 
SWISS.txt στο πλαίσιο Advanced του 
pfSense. Το ελαφρώς κόκκινο τμήμα θα 
το διαγράψουμε, αφού οι αντίστοιχες 
οδηγίες έχουν ήδη εισαχθεί από το web 
panel του pfSense. 


@ pfsensejvpn openvpn client.php?actenew 


2 | aa Ii ey: persist-tun; tls- | 
55 EL 


пу ад I ‘OpenVPN dient configuration here, separated by a semicolon 
EXAMPLE remote server.example.com 1194; or remote 123.4 1194; 


Verbosity level зма 


B 
Sich levei она ao from the previos leve Level 3 ie recommended i you vant a good summary of what happening 
ura өөө pfsense.SWISS.txt 
one = No ouput cet tn ers wvwPaste the entire CA content below under System > Certificate Authorityreer 


-----ΒΕΟΙΝ CERTIFICATE----- 
MIIEWTCCA6mgAWIBAgIJAKROjebUHoOQMAOGCSQGSIb3DQEBBQUAMIGbMQswCQYD 
VQQGEwJVUzELMAKGA1UECBMCRKwxEDAOBgNVBACTBOSybGFUZGBXETAPBoNVBAOT 
CFRvckd1YXJkMQuwCQYDVQQLEwNWUEAXE zARBONVBAMTCLRHLUSWUEA t QOEXETAP. 
BglVBCKTCFRvcKd1YXJkMSQwIGYJKoZIhvcNAQKBFhVzeXNhZG1pbkBOb3JndWFy 
ZC5uZXQwHhcNMTQWNDESMTAWOTIzWhcNM j ΟΗΝΡΕΘΗΤΑΝΟΤΙΖΝΗ CBnzELMAKGA1UE 
BhMCVVMXCZAJBQNVBAgTAKZMMRAWDgYDVQQHEWdPcmxhbmRVMREwDwYDVOQKEWhU 
b3JHWFyZDEMMAOGA1UECxMDV LBOMRMWwEQYDVQQDEwpURy1PV BOLUNBMREwDwYD 
VQüpEwhUb3JHdWFyZDEKMCIGCSqGSID3DQEJARYVC3lzYWRtaWSAdG9yZ3VhcnQu 
bmVOMIIBIjANBQkqhkiG9wOBAQEFAAOCAQBAMIIBCGKCAQEAwS1hJz LDWK Ln3DEO 
XyüpnvtxwrsRACIYMiBCOnpSw74 lTRYnGBCUuPQAT3ig2DnH9HNNFX IMWZDYOBpU 
aitdn7uYErJi4EP9/t2 L3uXCNgoWYVdVP1 j SEXLY10acOv9s rbNZHeWpxHIblwzr 
li4sLsdaifÜibgVZI91FATXGrVdFDaQb20] y rFWBb4xbCBpBJxQDzqPeu9nkVpu 
OhBuU«dM«9h«8BjOtpdAernEAtBCbHIywe9RjmOJLrYmCPKuBS LdVgG3rYQWFa3X 
pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. ΑἹ Ri Ywj rwt г/ /nGM4fAWKOFC2PHWA2G13JwdynTNLSB9NQiON7hhR6lmt CHeqHln0oAZz 
AMdAQQIDAQABoAIBBDCCAQAvHOYDVROOBBYEF JvAPA1gnlD/maj xi+43j LOXDfqQ 
MIHQBgNVHSMEgcgwgcWAFJVAPA1gn LD/maj xi+43jLOXDf qQoYGhpIGeMIGbMOsw 
COYDVQQGEvJVUZELMAKGA1UECBMCRKwxEDAOBoNVBACTBOSy bGFUZGBXETAPBONV 
BAoTCFRvckd1YX2 kNQwwCYDVQQL EwNWUE4XEZARBgNVBANTC LRHLUSWUE4tQQEx 
ETAPBONVBCkTCFRVCkd1YXJkMSQWIgY JKOZIHVCNAQKBFhVZeXNhZG1pbkBOb3In 
WFyZCSUZXSCCQCKTO3m1BGNIDAMBgNVHRMEBTADAQH/MAQGCSqGSIb3DQEBBQUA 
A4TBAQBRG46DnL/BEAPDi/e00LiSWO7LRHYyZJd LUM Lsnwkp6UL6BMJq8q3UX3z 
*pqDf3uz j94y/IpGügF4OfoAdwf /C7F533TSwU/vi.«SPDWfwD2WnGqVmcnXnGRp 
9Fur*oryRwBGfSVBLZHTKWFIRZrRArBhWZhNySGFWSXLELicvNy «9m LFhk2Nb46w 
ioZKclLc7/okeXNWHPV6D Lm39TcNBpGX/xNoWBzqs 1EtALZGVMCQHSKLf i3Nbaab 
ΒΥεθΒΚΗς feZA+in4BZ6y2E+x84NYHRebq i j XTtHp3ScoyXlLBL/ *LBoZ86hKszEx 
F3pjGUO«8NzvdPUbKndhzyPPnHFl 
-----ΕΝῸ CERTIFICATE: 


*kIn the OpenVPN client advanced configuration box paste the followingis 


remote swiss.torguardvpnaccess.com 443; auth-user-pass /root/vpnpassword; 
persist-key; persist-tun; tls-client; comp-lzo; verb 1;| 


77 


WV'HAGIKER 


Αν όλα έχουν πάει καλά τότε o OpenVPN client του pfSense θα συνδεθεἰ στον 
TorGuard VPN server στην Ελβετία. Χρειάζεται όμως κι άλλη δουλειά, πριν μία ή TE- 
ρισσότερες συσκευές πίσω από το pfSense αρχίσουν να βγαίνουν στο Internet µέσω 
Ελβετίας. Προς το παρόν, ας κάνουμε Eva σύντομο διάλειμμα κι ας δούμε τι EXEL va 
TEL to pfSense yia to VEO κρυπτογραφημένο τούνελ που έχει δημιουργηθεί. Δείτε та 


τρία screenshots που ακολουθούν. 


999 < ) 8 3t & pfsense/vpn openvpn client.php 


‚+ System * Interfaces » Firewall » Services > VPN » Status * Diagnostics * Gold 


OpenVPN: Client 


Server се, Client Specific Overrides | wizards | Client Export | Shared Key Export 
Pr е icripti 


swiss.torguardvpnaccess.com:443 TorGuard Switzerland 


Additional OpenVPN clients can be added here. 


Από ro VPN > OpenVPN > Client είναι φανερό ότι o νέος client είναι ενεργός (Disabled = ΝΟ). Έχει όµως 
επιτευχθεί και σύνδεση; 


өөө < E 2b 8 pfsense/status openvpn.php 


› System * Interfaces * Firewall » Services > VPN » Status * Diagnostics * Gold 


Status: OpenVPN 


Northern Outpost [SKG] UDP:22105 Client connections 
| Na ress irt j 


Client Instance Statistics 


TorGuard Switzerland UDP 81.17.30.86 


* Help 


Δίνοντας Status > OpenVPN διαπιστώνουμε ότι υπάρχει ένα ενεργό OpenVPN client instance (Status = up), το 
οποίο αφορά στον client που μόλις ορίσαµε (Name = TorGuard Switzerland UDP). Διακρίνονται ro δημόσιο IP του 
апоракросџёуоо OpenVPN server καθώς και то IP που έχει αντιστοιχιστεί στο tunO interface, µέσω του οποίου 
υλοποιείται ro κρυπτογραφημένο τούνελ μεταξύ του pfSense και του TorGuard VPN server. 
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999 < ШШ [εν] 2b а pfsense/status services.php e o eh a αι. 


» System * Interfaces * Firewall » Services > VPN » Status * Diagnostics * Gold * Help 


Status: Services 


Service Status 
apinger Gateway Monitoring Daemon [3 Running ω ð у 
dhcpd DHCP Service [3 Running Қ [πι ð ul 
ntpd NTP clock sync [3 Running Қ 


openvpn OpenVPN client: TorGuard Switzerland [3 Running 


openvpn OpenVPN server: oVPN @ Northern Outpost [SKG] © Running 


sshd Secure Shell Daemon [3 Running 


unbound DNS Resolver [3 Running 


Ένας τελευταίος έλεγχος, πριν πιάσουµε ξανά δουλειά (Status > Services): О OpenVPN client του "TorGuard 
Switzerland" τρέχει (Running) - κι αυτό είναι καλό. 


Βήμα 4, δημιουργία νέου network interface για τη νέα σύνδεση VPN. Χρειαζόμαστε 
νέους κανόνες για to ΝΑΤ αλλά και για το firewall του router µας. Προς τούτο, θα 
ορίσουμε éva νέο network interface για τη σύνδεση στον απομακρυσμένο TorGuard 
VPN server. Δείτε ta screenshots που ακολουθούν και διαβάστε τις αντίστοιχες πε- 


ριγραφές. 


999 < Ё [авг] % & pfsense/interfaces assign.php e o [i EN | 


» System > Interfaces * Firewall » Services >» VPN > Status » Diagnostics > Gold > Help 


Interfaces: Assign network ports 
Т.а Groups | wireless [vane [ amas [ ps | ene [ ας | rines [блв | 


Network port 


reO (00:19:66:3c:c8:4b) 


гел (00:17:98:37:68:6a) 


ге2 (00:17:9а:37:60:65) 


о е ео] 


BRIDGEO (Bridge LAN-OPT1) 


Available network ports: |. ovpnc1 (TorGuard Switzerland) B С 


Interfaces that are configured as members of а lagg(4) interface will not be shown. 


Ξεκινάμε επιλέγοντας Interfaces > (assign). Па ro Available network ports επιλέγουμε το ovpnc1 (TorGuard 
Switzerland). Τα ovópara ενδέχεται να διαφέρουν για To setup σας, φροντίστε ωστόσο να διαλέξετε το network 
port που αντιστοιχεί στη σύνδεση προς τον TorGuard VPN server. Στα δεξιά, κάντε ένα κλικ στο [+]. 
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eee < 8 ῷ % & pfsense/interfaces assign.php (7 o 


» System > Interfaces * Firewall % Services Ф VPN » Status * Diagnostics > Gold * Help 


Interfaces: Assign network ports 


ге1 (00:17:9a:37:68:6a) 


ге2 (00:17:9a:37:60:65) B 
BRIDGEO (Bridge LAN-OPT1) B 
ovpne! (TorGuard Switzerland) @ 


Available rretwork ports: ovpns2 (oVPN @ Northern Outpost [SKGT) 


Interfaces that are configured as members of a lagg(4) interface will not be shown. 


eee < 8 © + а pfsense/interfaces.php?if-opt3 e o 


» System > Interfaces * Firewall » Services >» VPN » Status * Diagnostics > Gold › Help 


Interfaces: OPT3 


General configuration 


Enable Enable Interface 


сш Чы TG VPN CH 


Enter a description (name) for the interface here. 


IPv4 Configuration Type Noe B 


IPv6 Configuration Type None B 


MAC address | 


This field can be used to modify ("spoof") the MAC address of this interface 
Enter a MAC address in the following format: хх:хх:хх:хх:хх:хх or leave blank 


Tf you leave this field blank, the adapter's default MTU will be used. This is typically 1500 bytes but can vary in some 
circumstances. 


If you enter a value in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header 
size) will be in effect. 


Private networks 


Block private networks 

When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 
172.16/12, 192.168/16) as well as loopback addresses (127/8). You should generally leave this option turned on, unless your 
WAN network lies in such a private address space, too. 


Block bogon networks 

When set, this option blocks traffic from IP addresses that are reserved (but not RFC 1918) or not yet assigned by IANA. 
Bogons are prefixes that should never appear in the Internet routing table, and obviously should not appear as the source 
address in any packets you receive. 


Note: The update frequency can be changed under System->Advanced Firewall/NAT settings. 


Save») Cancel 
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eee < 


© + & pfsense/interfaces assign.php © o th a 


E 


» System > Interfaces > Firewall » Services >» VPN > Status > Diagnostics > Gold > Help 


Interfaces: Assign network ports 


ОГ nace cous [иш [иле Lance [ен | ene | EET 


Network port 


reO (00:19:66:3c:c8:4b) 


re1 (00:17:9a:37:68:6a) 


τοῦ (00:17:9a:37:60:65) 


σσ 


BRIDGEO (Bridge LAN-OPT1) 


H ovpnc1 (TorGuard Switzerland) 


Available network ports: ovpns2 (cVPN @ Northern Outpost [SKG]). 


Interfaces that are configured as members of a lagg(4) interface will not be shown. 


Ιδού το νέο network interface, µε το νέο του, φιλικό όνοµα. Υπενθυµίζουµε ότι αντιστοιχεί στη σύνδεσή µας προς 
τον VPN server στην Ελβετία. 


999 < 
O B 
αντιστο 


© + & pfsense/index.php e 9 б al тт 
=== 
е е р | 
Status: Dashboard @ 
System Information A Interfaces аа 
Мате pfsense.colder.xyz E Wan t 100baseTX <full-duplex> 
Version 2.2.6-RELEASE (amd64) (DHCP) 192.168.1.254 
built on Mon Dec 21 14:50:08 CST 2015 
FreeBSD 10.1-RELEASE-p25 PLAN " 1000baseT «full-duplex, master» 
192.168.2.254 
You are on the latest version. 
1000baseT <full-duplex> 
Platform pfSense D opti + 
192.168.3.254 
Genuine Intel(R) CPU 2140 @ 1.60GHz 
CPU Type Current: 1400 MHz, Max: 1600 MHz Е ОРТ2 + 
2 CPUs: 1 package(s) x 2 core(s) == 192.168.10.254 
Uptime 1 Day 22 Hours 14 Minutes 41 Seconds Ώτα VPN СН τ 
Current 152: 
date/time Thu Feb 25 9:52:09 EET 2016 Interface Statistics 
127.0.0.1 
GNE 8.8.8.8 
server(s) 8844 
Packets In 4712083 | 313708 272816 | 2639964 
уза COMIS Thu Feb 25 9:50:35 EET 2016 
ч Packets Out 2845531 | 240052 218703 | 4527292 
State table 1 ' 
А 0% (444/329000) 
size Show states Bytes In 4,99GB | 29.76 MB | 197.28 MB | 367.07 M 
« ) Bytes Out 395.61 MB | 191.31 MB | 20.04 MB | 4.96 GB. 
MBUFUsage о (1526/26584) ; i : : 
enum — |] i Errors In 0 0 0 0 
Temperature ЗС 
Load 0.11, 0.07, 0.02 Errors Out 0 0 0 0 
average 
Collisions 0 0 0 0 
CPU usage R ) 
ο σ отпта Interface σελίδα 8 Dashboard, στο νέο interface ὃ ακόμα 
Ó θυνση IP o0 a αυτο, πρ αο ο a ppo со ато МА 
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Βήμα 5, επέμβαση στους κανόνες για το NAT. Па τους νέους κανόνες NAT ako- 
λουθούμε τη διαδρομή Firewall > NAT > Outbound. Όπως βλέπετε, προεπιλεγµένο 
είναι το Automatic outbound ΝΑΤ rule generation (IPsec passthrough included). 


(E E < i ῷ EU] а pfsense/firewall nat out.php ©, | | ο б πω 


» System * Interfaces * Firewall » Services b VPN » Status * Diagnostics > Gold > Help 


Firewall: NAT: Outbound 


TM eene 


o Automatic outbound NAT rule generation 7 ~ Hybrid Outbound NAT rule generation 
(IPsec passthrough included) (Automatic Outbound NAT + rules below) 
Mode: 
г, Manual Outbound NAT rule generation _~ Disable Outbound NAT rule generation 
(AON - Advanced Outbound NAT) (No Outbound NAT rules) 


Mappings: 


127.0.0.0/8 * WAN address 
rule for 
ISAKMP - 
localhost to 
WAN 


127.0.0.0/8 я Ἔ ш WAN address 


localhost to 
WAN 


192.168.2.0/24 ы Ы WAN address | * {= Auto created 
rule for 
ISAKMP - 
LAN to WAN 


Εξ ορισμού, οι κανόνες NAT (Network Address Translation) δημιουργούνται αυτόματα στο pfSense кї αφορούν στη 
διεύθυνση IP του WAN interface. 


eee < E © Р а pfsense/firewall nat out.php e| o th c | 


» System * Interfaces * Firewall » Services b VPN > Status » Diagnostics > Gold > Help 


Firewall: NAT: Outbound 


retreat оо 


> Automatic outbound NAT rule generation г> Hybrid Outbound NAT rule generation 
(IPsec passthrough included) (Automatic Outbound NAT - rules below) 


le: 
o Manual Outbound NAT rule generation ^. Disable Outbound NAT rule generation 
(AON - Advanced Outbound NAT) (No Outbound NAT rules) 


Mappings: 


127.0.0.0/8 WAN address Auto created 
rule for 
ISAKMP - 
localhost to 
WAN 


127.0.0.0/8 WAN address Auto created 
rule - 
localhost to 
WAN 


192.168.2.0/24 WAN address Auto created 


Θέλουμε να ορίσουµε έναν κανόνα NAT *kat* yia то TG. VPN. CH interface, οπότε επιλέγουμε то Manual Outbound 
NAT rule generation (AON - Advanced Outbound ΝΑΤ), µετά κάνουμε ένα κλικ στο κουμπί Save κι αµέσως µετά άλλο 
ένα στο κουμπάκι [+], πάνω δεξιά, ώστε να ορίσουµε τον κανόνα µας. 
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< E + 8 pfsense/firewall nat out edit.php?after--1 e o eth 


* System * Interfaces * Firewall * Services > VPN * Status * Diagnostics › Gold * Help Sie pfsense.col 


Edit Advanced Outbound NAT entry 


Disabled | | Disable this rule 
Set this option to disable this rule without removing it from the list. 


Do not NAT - | Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules. 
Hint: in most cases, you won't use this option. 


Interface TG_VPN_CH B 
—” Choose which interface this rule applies to. 


Hint: in most cases, you'll want to use WAN here. 


Protocol any B 
==” Choose which protocol this rule should match. 


Hint: in most cases, you should specify any here. 


Type: any B 
Address: 


Enter the source network for the outbound NAT mapping. 


Source port: == (leave blank for any) 


Destination 


not 
Use this option to invert the sense of the match. 


a4 b w B 
Address: if {24 5) 


Enter the destination network for the outbound NAT mapping. 


Destination port: == (leave blank for any) 


Translation Address: ^ Interface address B 


Packets matching this rule will be mapped to the IP address given here. 
If you want this rule to apply to another IP address rather than the IP address of the interface chosen above, 
select it here (you will need to define Virtual IP addresses on the interface first). 


N 


Enter the source port for the outbound NAT mapping. 


No XMLRPC Sync 


Hint: This prevents the rule on Master from automatically syncing to other CARP members. This does NOT 
prevent the rule from being overwritten on Slave. 


Description 4 Ҹ TG-VPN-CH ΝΑΤ 
You may enter a description here for your reference (not parsed). 


осш 
Ш 


Στη σελίδα για τον ορισμό του κανόνα NAT, αρχικά ξεκαθαρίζουµε ότι αφορά στο TG. VPN..CH interface. Па ta 
Protocol, Source και Destination ορίζουμε To any, ενώ στην περιοχή Translation φροντίζουμε ώστε va ισχύει 
Address = Interface address. Τέλος, στη θυρίδα ονόματι Description πληκτρολογούμε µια χαρακτηριστική 
περιγραφή για τον κανόνα και µετά πατάµε στο κουμπί Save, από κάτω. 
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eee < E ῷ + | а pfsense/firewall nat out.php Gi o [i] EN, а 


» System * Interfaces * Firewall » Services b VPN > Status > Diagnostics > Gold > Help 


Firewall: NAT: Outbound 


escrow оо 


τς Automatic outbound NAT rule generation г > Hybrid Outbound NAT rule generation 
(IPsec passthrough included) (Automatic Outbound NAT + rules below) 
Mode: 
o Manual Outbound NAT rule generation ; . Disable Outbound NAT rule generation 
(AON - Advanced Outbound NAT) (No Outbound NAT rules) 


Mappings: 


TG VPN CH TG-VPN-CH 
address т 


127.0.0.0/8 WAN address Auto created 


localhost to 
WAN 


127.0.0.0/8 WAN address Auto created 


192.168.2.0/24 WAN address 
rule for 
ISAKMP 
LAN tc 


(E E < E [7] їр & pfsense/reboot.php ΟΙ 9 б ce m 


› System * Interfaces * Firewall » Services > VPN > Status » Diagnostics > Gold > Help 


Diagnostics: Reboot System 


Are you sure you want to reboot the system? 


ae J 
Г 


pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


Είναι wpa va επανεκκινήσουµε τον pfSense-based router µας. Επιλέγουμε Diagnostics > Reboot. 
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eee « 


© # 


* Interfaces 


а pfsense [v] 9 e a mm 


» System * Firewall » Services b VPN > Status > Diagnostics > Gold > Help 


Status: Dashboard 


aw 


System Information 


Name 


pfsense.colder.xyz 


Version 


2.2.6-RELEASE (amd64) 
built on Mon Dec 21 14:50:08 CST 2015 
FreeBSD 10.1-RELEASE-p25 


You are on the latest version. 


Platform 


pfSense 


CPU Type 


Genuine Intel(R) CPU 2140 @ 1.60GHz 
Current: 1400 MHz, Max: 1600 MHz 


Interfaces 


Ei WAN 
(DHCP) 


100baseTX <full-duplex> 


192.168.1.254 


E LAN 


1000baseT <full-duplex> 


192.168.2.254 


O opti 


1000baseT <full-duplex> 


192.168.3.254 


ЕЗ ОРТ2 


192.168.10.254 


2 CPUs: 1 package(s) х 2 core(s) 


00 Hour 02 Minutes 58 Seconds тс VPN CH 


Uptime 


Current 
date/time 


10.9.0.30 


Thu Feb 25 10:07:17 EET 2016 
Interface Statistics 


DNS 127.0.0.1 
server(s) 


Last config Packets In 


Thu Feb 25 10:01:53 EET 2016 
change 


Packets Out 
State table 
size 


0% (273/329000) 
Show states 


Bytes In 


MBUF Usage 


α 
5% (1270/26584) 


Bytes Out 


aaa 
Temperature 530°C --— — Errors In 


Load 


0.25, 0.39, 0.19 
average 


Errors Out 


CPU usage Collisions 


0% 


Μόλις о router επανεκκινήσει, συνδεόµαστε στο web panel του pfSense και δίνουμε Status > Dashboard. 
Παρατηρήστε την ενότητα Interfaces: το TG. VPN ΟΗ εἰναι ενεργό και μάλιστα του έχει αντιστοιχιστεί διεύθυνση IP. 


Βήμα 6, δηµιουργία alias. Δεν θέλουμε να βγαίνουν όλες οι συσκευές του TO- 
πικού µας δικτύου στο Internet µέσω του Ελβετικού VPN server, παρά µόνον 
όσες έχουμε εμείς υποδείξει. Στο pfSense, ἕνας καλός τρόπος για να καθορίζου- 
µε συσκευές στις οποίες θέλουμε у αναφερόμαστε συνολικά κι όχι µεμονωμέ- 
να, εἶναι µε χρήση των aliases. Περισσότερα γι αυτά µπορείτε να διαβάσετε ото 
https://deltahacker.gr/?p=15323 - και συγκεκριµένα στην παράγραφο "Ta aliases του 
pfSense". Στο πλαίσιο των πειραματισμών µας φτιάξαμε το alias ονόματι Hosts. CH, 
το οποίο περιλαμβάνει τις εσωτερικές διευθύνσεις IP δύο VMs που θέλουμε να 
βγαίνουν στο Internet µέσω του Ελβετικού VPN server. Το éva VM λειτουργεί ως Plex 
media server (https://deltahacker.gr/?p=15549) ενώ to άλλο εἶναι το Seedbox µας, µε 
το Transmission (hitps://deltahacker.gr/?p=15791). Па το Seedbox δείτε το δεύτερο 
άρθρο της σειράς µας. 


Σηµείωση. Αν πρόκειται να ρυθμίσετε τον pfSense-based router σας ὠστεναλει- 
τουργεί ως TorGuard VPN client, τότε εφαρμόζοντας όσα περιγράφονται στο áp- 
θρο για το Seedbox σταµατήστε αμέσως µετά τη ρύθμιση του Transmission. Μην 
προχωρήσετε, δηλαδή, στη λειτουργικότητα OpenVPN client, ενώ και το ruleset 
του iptables αφήστε to ως EXEL. 
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eee < 


© % & pfsense/firewall_aliases.php [ο 


» System > Interfaces > Firewall » Services >» VPN > Status » Diagnostics » Gold › Help 


Firewall: Aliases 


EM rons νι. a 


seedbox.colder.xyz, plex.colder.xyz Hosts that go out via Switzerland udis 


ша 


Aliases act as placeholders for real hosts, networks ог ports. They сап be used to minimize the number of changes that have to be made if 
a host, network or port changes. You can enter the name of an alias instead of the host, network or port in all fields that have a red 
background. The alias will be resolved according to the list above. If an alias cannot be resolved (e.g. because you deleted it), the 


corresponding element (e.g. filter/NAT/shaper rule) will be considered invalid and skipped. 


Βήμα 7, κανόνες για το firewall. Το ότι φτιάξαμε ένα alias ре ta hosts που θέλουμενα 
βγαίνουν στο Internet µέσω του Ελβετικού TorGuard VPN, δεν σημαίνει ότι πράγμα- 
τι βγαίνουν έξω µέσω του συγκεκριμένου server. Χρειαζόμαστε κι évav κατάλληλο 
κανόνα στο ruleset του pfSense. Ξεκινάμε, λοιπόν, επιλέγοντας Firewall > Rules. To 
network interface yia то οποίο θέλουμε Va ορίσουμε VEO κανόνα εἰναιτο LAN п, TEAOC 
πάντων, εκείνο που βλέπουν ot συσκευές πίσω апо τον router. Στο δικό µας setup, 


avti yta to LA 


999 « 
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N οι συσκευές βλέπουν το OPT2 (bridge των LAN, OPT1). 


ῷ 3t & pfsense/firewall_rules.php?if=opt2 d 


» System > Interfaces * Firewall » Services > VPN » Status * Diagnostics > Gold > Help 


Firewall: Rules 


ено ναι [ua Τοντι s: revon cn T openen | 


(ID | Proto | Source | Роњ | Destination | Port | Gateway | Queue | Schedule | Description 


ü στης ος 5 * | WANGW | none | Allow OPT2 to апу % 


[3 pass match block reject 6 о 
(1 pass (disabled) 4 match (disabled) block (disabled) reject (disabled) -. log (disabled) 


Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be 
executed). This means that if you use block rules, you'll have to pay attention to the rule order. 
Everything that isn't explicitly passed is blocked by default. 
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< E © 3t & pfsensej/firewall rules edit.php?id-6 e o th 


> System > Interfaces > Firewall b Services » VPN » Status * Diagnostics » Gold * Help 


Firewall: Rules: Edit 


Edit Firewall rule 


Action —M Pass B 


Choose what to do with packets that match the criteria specified below. 

Hint: the difference between block and reject is that with reject, a packet (TCP RST or ICMP port unreachable for UDP) 
is returned to the sender, whereas with block the packet is dropped silently. In either case, the original packet is 
discarded. 


Disabled . | Disable this rule 
Set this option to disable this rule without removing it from the list. 


Interface — оп B 


Choose which interface packets must be sourced on to match this rule. 


TCP/IP Version === руд В Select the Internet Protocol version this rule applies to 


Protocol — any B 


Choose which IP protocol this rule should match. 
Hint: in most cases, you should specify TCP here. 


- not 
Use this option to invert the sense of the match. 


Type: Single host or alias B 


not 
Use this option to invert the sense of the match. 


— P Type: any B 
κας = 


Log _ | Log packets that are handled by this rule 


Hint: the firewall has limited local log space. Don't turn on logging for everything. If you want to do a lot of logging, 
consider using a remote syslog server (see the Diagnostics: System logs: Settings page). 


η cà. Hosts that go out via Switzerland VPN 


You may enter a description here for your reference. 


pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


Εδώ βλέπουμε τη σελίδα προσθήκης νέου κανόνα. Φροντίστε ώστε και για τον δικό σας va ισχύουν όσα 
υποδεικνύονται από τα βελάκια. Ενδιαφέρον παρουσιάζει η τιµή που έχουµε δώσει στο Source. Па то Type 
επιλέξαμε To Single host or alias και στο πεδίο Address, апо κάτω, πληκτρολογήσαμε ro όνοµα του Alias που 
ορίσαµε προηγουμένως. Λέμε, μ' άλλα λόγια, ότι ο κανόνας αφορά σε εξερχόµενα πακέτα τα οποία προέρχονται 
απὀ συσκευές της λίστας Hosts. CH. 
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9989 «| E © 3t & pfsensej/firewall rules edit.php?id-6 


› System » Interfaces » Firewall » Services » VPN » Status * Diagnostics 


Advanced features 


Source OS Advanced | - Show advanced option 


› Gold › Help 


Diffserv Code Point Advanced - Show advanced option 


Advanced Options Advanced | - Show advanced option 


State Type Advanced |- Show advanced option 


No XMLRPC Sync 


802.1p Advanced | - Show advanced option 


Schedule Advanced | - Show advanced option 


Gateway TG VPN CH VPNVA - 10.9.0.29 


Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing. 


In/Out Advanced | - Show advanced option 


Ackqueue/Queue Advanced - Show advanced option 


Layer7 Advanced - Show advanced option 


Rule Information 


Created 2/25/16 10:19:33 by admin@192.168.10.5 


Updated 2/25/16 10:19:33 by admin@192.168.10.5 


Save Cancel 


өөө «x E © δε а pfsense/firewall_rules.php 


> System > Interfaces > Firewall » Services » VPN > Status * Diagnostics 


Firewall: Rules 
rating | wan | Law | opra = 
P | " | [ n on | ort 


> Gold > Help 


* | TG VPN. CH. VPNVA | none 


* | WANGW none 


Hosts that go out 
via Switzerland 
VPN Ы 


[2 pass match block 
12 pass (disabled) 4 match (disabled) block (disabled) 


Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be 
executed). This means that if you use block rules, you'll have to pay attention to the rule order. 
Everything that isn't explicitly passed is blocked by default. 


E 
| 24 
out via our ISP Qa 

| 


ICE 


reject log 
reject (disabled) 45 log (disabled) 
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Βήμα 8, ρυθμίσεις routing. Χάρη στη σύνδεση VPN που έχει επιτευχθεί, στον router 
μας έχει προστεθεί κι ένας νέος gateway. Στο web panel του pfSense επιλέγουμε 
System > Routing και στ' αριστερά της γραμμής µε τον νέο gateway (о δικός µας 
ονομάζεται TG. VPN. CH. VPNVA) κάνουμε κλικ στο κουμπάκι [e]. Στη νέα σελίδα που 
εμφανίζεται, στη θυρίδα Monitor IP βάζουμε To 8.8.8.8 και µετά πατάµε στο KOU- 
рпі Save. Ουσιαστικά, av µέσω του κρυπτογραφηµένου τούνελ προς TOV server στην 
Ελβετία *Sev* μπορούμε να κάνουμε ping στον δημόσιο name server της Google 
(8.8.8.8), τότε η αντίστοιχη σύνδεση θα θεωρείται down κι o gateway δεν 0a χρησι- 
μοποιείται. 


| < E @© Е У 8 pfsense/system gateways edit.php?id-1 © 


pfsense.colder.xyz - System: Gateways: Edit gateway 
› System > Interfaces » Firewall Ф Services » VPN  * Status > Diagnostics » Gold » Help Se pfsense.cold 
ystem: 


Edit gateway 


Disabled ~ Disable this gateway 
Set this option to disable this gateway without removing it from the list. 


Interface TG VPN CH [53 
Choose which interface this gateway applies to. 


Address Family Т! [5] 


Choose the Internet Protocol this gateway uses. 


Name Чы TG VPN CH VPNV4 E 


Gateway name 


Gateway Bi dynamic 
Gateway IP address 


Default Gateway ~| Default Gateway 
This will select the above gateway as the default gateway 


Disable Gateway Disable Gateway Monitoring 
Monitoring This will consider this gateway as always being up 


Montane 8.8.8.8 Alternative monitor IP 
Enter an alternative address here to be used to monitor the link. This is used for the quality RRD graphs as 


well as the load balancer entries. Use this if the gateway does not respond to ICMP echo requests (pings). 


Mark Gateway as Down _) Mark Gateway as Down 
This will force this gateway to be considered Down 


Advanced Advanced - Show advanced option 


Description ‘\ Interface TG_VPN_CH_VPNV4 Gateway 


You may enter a description here for your reference (not parsed). 


Save Cancel 
y 
N 


Н κατάσταση rou gateway προς rov TorGuard VPN server στην Ελβετία θα ελέγχεται µε pings προς τον δημόσιο 
name server tn¢ Google (µε IP ro 8.8.8.8). 


Βήμα 9, ρυθμίσεις DNS. Ολοκληρώνουμε επιτέλους την εργασία µας µε µια επίσκε- 
wn στη σελίδα System > General Setup. Στην ενότητα DNS servers, για κάθε έναν από 
τους δηλωμένους name servers θέτουμε το Use gateway ίσο µε το WANGW - wan. 
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3t 8 pfsense/system.php G 


pfsense.colder.xyz - System: General Setup 


> System * Interfaces » Firewall » Services › VPN * Status * Diagnostics * Gold * Help 


System: General Setup 


Ҹ pfsense 


Name of the firewall host, without domain part 
e.g. firewall 


ч, colder.xyz 

Do not use 'local' as a domain name. It will cause local hosts running mDNS (avahi, bonjour, etc.) to be unable to 
resolve local hosts not running mDNS. 

e.g. mycorp.com, home, office, private, etc. 


DNS servers 


aa 


Use gateway 


|. WANGW - wan - 192.168.1.1 


none 


none: 


Enter IP addresses to be used by the system for DNS resolution. These are also used for the DHCP service, DNS 
forwarder and for PPTP VPN clients. 


Tn addition, optionally select the gateway for each DNS server. When using multiple WAN connections there should 
be at least one unique DNS server per gateway. 


. | Allow DNS server list to be overridden by DHCP/PPP on WAN 
Tf this option is set, pfSense will use DNS servers assigned by a DHCP/PPP server on WAN for its own purposes 
(including the DNS forwarder). However, they will not be assigned to DHCP and PPTP VPN clients. 


. | Do not use the DNS Forwarder or Resolver as a DNS server for the firewall 

By default localhost (127.0.0.1) will be used as the first DNS server where the DNS Forwarder or DNS Resolver is 
enabled and set to listen on Localhost, so system can use the local DNS service to perform lookups. Checking this 
box omits localhost from the list of DNS servers. 


Europe/Athens 


Select the location closest to you 


NTP time server 


‘\ 0.pfsense. pool.ntp.org 
Use a space to separate multiple hosts (only one required). Remember to set up at least one DNS server if you 
enter a host name here! 


Language 


English B Choose a language for the webConfigurator 


Οι δύο DNS servers που o router µας χρησιμοποιεί είναι εκείνοι της Google (8.8.8.8 και 8.8.4.4). Τους ίδιους servers 
χρησιμοποιεί κι ο forwarder του συστήµατος, ο οποίος εξυπηρετεί όλες τις συσκευές του τοπικού δικτύου. 
Φροντίζουμε ώστε σε κάθε έναν από τους δύο name servers να φτάνουμε μέσω του gateway προς τον ISP μας. 


Μια σημείωση για το τέλος 


Στο σηµείο αυτό διαθέτουμε Eva υποσύνολο από μηχανήματα του τοπικού µας ÔL- 
κτύου, τα οποία βγαίνουν έξω μέσω tou TorGuard VPN server στην Ελβετία. Ξεκινώ- 
ντας από το βήμα 2, κάλλιστα μπορούμε να εγκαθιδρύσουµε και ша "νέα: κρυπτο- 


γραφημένη σύνδεση προς «άλλονΧ TorGuard VPN server, апо τον οποίο θα βγαίνουν 
στο Internet οι συσκευές κάποιου "άλλου" υποσυνόλου μηχανημάτων. Γενικά, για τις 
συσκευές που επιθυμούμε να κρύβουμε τη δικτυακή τους δραστηριότητα апо τον 
ISP, δεν εἰμαστε μόνο σε θέση να ζητάμε την ἑξοδό τους µέσω κρυπτογραφηµένου 
τούνελ, αλλά και να επιλέγουμε τη γεωγραφική περιοχή που βρίσκεται η έξοδος 


του τούνελ. 
9g 
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eee < E © ἠξ 8 pfsense/status openvpn.php © 


» System > Interfaces Ь Firewall » Services — ^ VPN — * Status + Diagnostics » Gold Ф Help 


Status: OpenVPN 


ΟΝΡΝ Q Northern Outpost [SKG] UDP:22105 Client connections 
. Common Name Real Address Virtual Address. 


> ШС 


Client Instance Statistics 


Name Status | Connected Since Virtual Addr Remote Host Bytes Sent | Bytes Rcvd 


TorGuard Switzerland UDP Fri Feb 26 6:49:24 2016 10.9.0.26 81.17.22.206 1012 KB 


TorGuard Iceland UDP Fri Feb 26 6:49:25 2016 10.9.0.66 82.221.105.49 1.58 MB 


pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


өөө < © ЕЗ & pfsense/firewall aliases.php (tf 


» System ^ Interfaces Ф Firewall » Services » VPN » Status — ^ Diagnostics » Gold 


Firewall: Aliases 


» Ports [ores | al] 


Values 


seedbox.colder.xyz, plex.colder.xyz Hosts that go out via Switzerland 


thesender.colder.xyz, dbxnode.colder.xyz Hosts that go out via Iceland 


Aliases act as placeholders for real hosts, networks or ports. They can be used to minimize the number of changes that have to be made if 
a host, network or port changes. You can enter the name of an alias instead of the host, network or port in all fields that have a red 
background. The alias will be resolved according to the list above. If an alias cannot be resolved (e.g. because you deleted it), the 
corresponding element (e.g. filter/NAT/shaper rule) will be considered invalid and skipped. 


pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


E 


g1 


өөө « | i E а pfsense/firewall_rules.php?if=opt2 


› System › Interfaces > Firewall лсеѕ IS * Diagnostics » Gold 


Firewall: Rules 


mnome 


TG_VPN_IS_VPNV4 


TG_VPN_CH_VPNV4 


В pass match EJ block τος reject 
pass (disabled) 2 match (disabled) (2 Боск (disabled) . reject (disabled) 


Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be 
executed). This means that if you use block rules, you'll have to pay attention to the rule order. 
Everything that isn't explicitly passed is blocked by default. 


* Help 


Hosts that go out 
via Iceland VPN 


Hosts that go out 
via Switzerland 
VPN 


All other host: 
out via our ISP 


Ыз 
ы.а 
IE 


„г 
ёё 


ы.а 
ΚΟΕ 


ш 
IFTE 


ο: 
9 ο (disabled) 


pfSense is © 2004 - 2016 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


о 5 | 


Οι κανόνες rou firewall για vo OPT2 interface του router µας - πρόκειται για To interface που βλέπουν οι συσκευές 
του τοπικού δικτύου. Όταν µία συσκευή επιχειρεί va βγει στο Internet, έχει τρεις δυνατότητες (βλ. Κανόνες 

ξεκινώντας από πάνω): Να χρησιμοποιήσει κρυπτογραφημένο τούνελ προς TorGuard VPN server στην Ισλανδία, να 
χρησιμοποιήσει κρυπτογραφημένο τούνελ προς TorGuard VPN server στην Ελβετία, va µη χρησιμοποιήσει κάποιο 
κρυπτογραφημένο τούνελ και va βγει στο Internet απευθείας, µέσω του ISP pac. 
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